Die vm2-Sandbox ist im Kontext von Node.js-Umgebungen erneut löchrig und Angreifer können Schadcode ins Hostsystem schieben und ausführen. Admins sollten das Sicherheitsupdate zeitnah installieren.

Sandbox repariert

Wie aus einer Warnmeldung auf GitHub hervorgeht, hat die „kritische“ Lücke bislang noch keine CVE-Nummer bekommen. Aufgrund eines Fehlers können sich Angreifer eines Ereignisses aus dem Hostsystem bemächtigen und innerhalb der Sandbox die Kontrolle über einen Host-Prozess erlangen. Auf diesem Weg kann Schadcode ins Hostsystem gelangen. Wie eine Attacke konkret ablaufen könnte, ist bislang nicht bekannt. Auf der genannten GitHub-Website ist Proof-of-Concept-Code verfügbar. Die Entwickler versichern, die Schwachstelle in vm2 3.11.3 geschlossen zu haben.

Erst kürzlich sorgte eine Sandbox-Lücke in Node.js 25 für Schlagzeilen.

Siehe auch:

• Node.js: Download schnell und sicher von heise.de

(des)

Mit dem Update auf FTL 6.6.2 schließt das Pi-hole-Projekt mehrere Sicherheitslücken in dem DNS-basierten Werbeblocker für Raspberry Pis. Sie betreffen den mitgelieferten DHCP- und DNS-Server dnsmasq.

In der Release-Ankündigung zu Pi-hole FTL 6.6.2 erörtern die Entwickler, dass sie darin die Sicherheitslücken schließen, die in dnsmasq 2.92 und 2.93 bekannt wurden und vor denen etwa CERT.org seit dem Montag dieser Woche warnt. Die Einordnung des Risikos der Lücken etwa gemäß CVSS liegt noch nicht vor. Allerdings dürften viele Projekte in Kürze Updates zum Stopfen der dnsmasq-Lücken bereitstellen, wenn sogar das namhafte CERT warnt. Neben Pi-hole listet das CERT etwa Arch Linux, NixOS, Red Hat, SUSE Linux, Ubuntu und Wind River als betroffen auf.

Die Lücken umfassen etwa einen Pufferüberlauf auf dem Heap, der sich mit manipulierten DNS-Antworten auslösen lässt (CVE-2026-2291), einen Pufferüberlauf im DHCP-Helper-Script (CVE-2026-4892), Lesezugriffe über vorgesehene Speichergrenzen des Heaps hinaus (CVE-2026-5172), eine Umgehung einer Subnetz-Prüfung im EDNS-Client (CVE-2026-4893) sowie zwei Denial-of-Service-Schwachstellen in DNSSEC (CVE-2026-4890, CVE-2026-4891). Das CERT schreibt dazu, dass dadurch etwa Code ausgeführt werden könnte, mit root-Rechten, oder Angreifer den Cache manipulieren können (Cache Poisoning/Redirection). Das dnsmasq-Projekt stopft die Sicherheitslecks in den Versionen 2.92rel2 sowie 2.93.

Pi-hole: Aktualisierte Software

Bis zu welchem Softwarestand Pi-hole für die dnsmasq-Schwachstellen anfällig ist, konkretisieren die Maintainer nicht. Als Lösung sollten Pi-hole-Nutzerinnen und -Nutzer unbedingt auf die aktuelle 6er-Fassung migrieren. Das Update verfrachtet der Aufruf von sudo pihole -up am Terminal des genutzten Raspberry Pi auf das System.

Zuletzt hatte das Pi-hole-Projekt Ende April ein Sicherheitsupdate veröffentlicht. Damit haben die Programmierer zwei hochriskante Sicherheitslücken geschlossen. Auch da waren die Komponenten Pi-hole Core und FTL betroffen. Die Lücken ermöglichten Angreifern die Rechteausweitung. Sie betreffen die mitgelieferten Skripte von Pi-hole vor den Versionen Core 6.4.2 und FTL 6.6.1. Angreifer mit Pi-hole-Rechten – etwa durch Missbrauchen einer bislang unbekannten Sicherheitslücke im Webinterface – konnten sich dadurch root-Rechte aneignen (CVE-2026-41489, CVSS 8.8, Risiko „hoch“). Auf GitHub steht eine detailliertere Analyse der Lücke bereit, der zugehörige CVE-Eintrag wurde erst jetzt in der Nacht zum Dienstag in der NVD-Datenbank des NIST veröffentlicht.

Siehe auch:

(dmk)

Das Business-Software-Unternehmen SAP hat zum Mai-Patchday 15 neue Sicherheitsnotizen veröffentlicht. Zwei der darin behandelten Schwachstellen stufen die Entwickler als kritisches Risiko ein. Angreifer können mittels SQL-Injection Datenbankbefehle einschleusen oder etwa die Authentifizierung umgehen.

Auf der Patchday-Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsnotizen auf. In SAP S/4HANA (SAP Enterprise Search for ABAP) können authentifizierte Angreifer bösartige SQL-Abfragen einschleusen, die nicht ausreichend gefiltert werden. Damit können sie unbefugten Zugang zur darunterliegenden Datenbank erhalten oder die SAP-Anwendung abstürzen lassen (CVE-2026-34260, CVSS 9.6, Risiko „kritisch“). Eine nicht korrekte Konfiguration von Spring Security in SAP Commerce Cloud ermöglicht zudem nicht authentifizierten Angreifern, bösartige Konfigurationen hochzuladen und Code einzuschleusen – was in die Ausführung von beliebigem Code auf Serverseite mündet (CVE-2026-34263, CVSS 9.6, Risiko „kritisch“).

SAP-Patchday: 15 Sicherheitsnotizen

In SAP Forecasting & Replenishment findet sich zudem noch eine Schwachstelle, durch die bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2026-34259, CVSS 8.2, Risiko „hoch“). Die weiteren Meldungen stellen größtenteils ein mittleres Risiko dar und betreffen:

• SAP NetWeaver Application Server for ABAP and ABAP Platform,
• SAP S/4HANA Condition Maintenance,
• Business Server Pages Application (TAF_APPLAUNCHER),
• SAP BusinessObjects Business Intelligence Platform,
• SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard),
• SAP Commerce Cloud (Apache Log4j),
• SAPUI5 (Search UI),
• SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages),
• SAP Financial Consolidation,
• SAP Incentive and Commission Management sowie
• SAP Application Server ABAP for SAP NetWeaver and ABAP Platform.

Eine Lücke mit niedrigem Bedrohungsgrad bessert SAP zudem in SAP HANA Deployment Infrastructure (HDI) deploy library aus. IT-Verantwortliche sollten prüfen, ob sie verwundbare Software von SAP einsetzen und die verfügbaren Patches zeitnah anwenden.

Der SAP-Patchday im April fiel etwas umfangreicher aus: 19 Schwachstellen haben die Entwickler da ausbessern müssen. Eine davon galt als kritisch und war ebenfalls vom Typ SQL-Injection.

(dmk)