Angreifer können an Schwachstellen in Apache OFBiz ansetzen, um PCs zu kompromittieren. In einer aktuellen Version haben die Entwickler nun mehrere Sicherheitslücken geschlossen.

Verschiedene Gefahren

Mit OFBiz kann man komplexe Geschäftsprozesse organisieren und automatisieren. Aus dem Sicherheitsbereich der Apache-OFBiz-Website geht hervor, dass die Entwickler in der Version 24.09.06 insgesamt 17 Lücken geschlossen haben. Bislang gibt es keine Hinweise auf Attacken.

Als besonders gefährlich gilt eine „kritische“ Schwachstelle (CVE-2026-31986). An dieser Stelle können Angreifer aufgrund eines hartkodierten kryptografischen Schlüssels auf Instanzen zugreifen. Angreifer können aber auch aus der Ferne Schadcode ausführen (etwa CVE-2026-45434 „hoch“).

Um Systeme vor möglichen Attacken zu schützen, müssen Admins zeitnah die reparierte Ausgabe installieren.

(des)

Angreifer hatten offenbar Zugriff auf interne Repositories von GitHub. Der Betreiber der Versionsverwaltungsplattform hatte zunächst der Plattform Bleeping Computer und später auf X bestätigt, dass das Unternehmen den unautorisierten Zugriff auf Repositories untersuche.

Laut dem Post auf X sind nur interne Repositories betroffen. Es gebe keine Anzeichen dafür, dass dabei Informationen über Kunden abgeflossen sind. Sollte das doch der Fall sein, hat GitHub angekündigt, die Betroffenen direkt über die üblichen Kanäle zu informieren.

Schadcode in einer Extension für Visual Studio Code

Offenbar war das Einfallstor Schadcode in einer Visual Studio Code Extension auf dem Gerät eines Mitarbeiters. GitHub hat den Endpunkt laut eigenen Angaben isoliert und sofort Incident-Response-Maßnahmen eingeleitet.

Immer wieder finden sich infizierte Extensions auch auf den offiziellen Marktplätzen von Microsoft und Eclipse. Ein prominenter Vertreter war GlassWorm im Oktober 2025. Im Frühjahr 2026 gab es zahlreiche Erweiterungen mit Schadcode, die die Urheber vermutlich als Testballons für eine Ransomware-Attacke veröffentlicht haben.

TeamPCP reklamiert den Angriff für sich

TeamPCP hat den Angriff in einem Cybercrime-Forum für sich beansprucht. Die Gruppe soll für zahlreiche jüngere Vorfälle verantwortlich sein, darunter infizierte npm-Pakete von SAP und einen Angriff auf den quelloffenen Security-Scanner Trivy. Außerdem hat TeamPCP jüngst den Quellcode für den npm-Wurm Shai-Hulud veröffentlicht.

Die Angreifergruppe spricht von etwa 4000 Repositories, was sich in etwa mit der in einem späteren X-Beitrag von GitHub gemeldeten Zahl von 3800 Repositories deckt.

TeamPCP versteigert die Daten über das Cybercrime-Forum und erpresst GitHub dabei nur zwischen den Zeilen. Im Text betont die Gruppe dagegen explizit, dass sie kein Lösegeld wolle und GitHub nicht erpressen möchte, sondern die abgegriffenen Daten an den Höchstbietenden verkaufen will. Gebote unter 50.000 US-Dollar nehme sie aber nicht an.

Wenn sich ein Käufer findet, versichert die Gruppe, alle Daten zu löschen. Sollte sich kein Käufer finden, würde sie halt die Daten kostenlos veröffentlichen. Das klingt dann doch ein wenig nach Erpressung.

(rme)

Das immutable Linux-System Ubuntu Core für Internet-of-Things- (IoT) und Edge-Geräte ist in Version 26 erschienen. Canonical hebt „präzise“ Linux-Builds, optimierte OTA-Updates, Live-Kernel-Patching, Hardware-unterstützten Schutz sowie bis zu 15 Jahre Sicherheitsupdates hervor.

In einem Blog-Beitrag kündigt Canonical die aktualisierte Distribution an. Die Verbesserungen des minimalen Betriebssystems prädestinieren es demnach für KI-Anwendungen mit niedriger Latenz, für missionskritische Einsätze. Dafür seien reduzierte Installationszeiten, die Reduzierung der OTA-Update-Größe um 90 Prozent und „präzise“ Builds mittels Chisel verantwortlich. Der Fokus bleibt auf Sicherheit, jede Komponente läuft in der Sandbox, die Snaps sind kryptografisch signiert und die „measured Boot-chain“ erlaubt, nur verifizierte Software zu starten.

Das Long-Term-Support-Release (LTS) hilft zudem, dem Cyber Resilience Act (CRA) der EU Rechnung zu tragen. Für Betreiber kritischer Infrastrukturen will Ubuntu Core 26 die Kosten etwa für Softwareupdates und Wartungs- sowie Installationszeiten reduzieren. Die Over-the-Air-Updates (OTA) fallen deutlich kleiner aus, da das verbesserte Delta-Format für Snap die Größe für die Snaps um 50 bis 90 Prozent reduziert. Die Updates der Core-Snaps sollen anstatt 16 MByte nur noch 1,5 MByte umfassen. Die Installationen setzen auf initramfs, was redundante Neustarts umgehen soll.

„Präzise“ Builds

Das Chisel-Build-System von Ubuntu bringt eine präzise Zusammensetzung für die Core-Snaps. Es erzwingt etwa explizite und nachverfolgbare Abhängigkeiten. Dadurch lasse sich jede Datei im System zu ihrem Ursprung zurückverfolgen. Das soll Integritätsprüfungen und Schwachstellenanalyse verbessern. Als Abgrenzung nennt Canonical Builds mit Yocto – dort sind Herkunft und Abhängigkeiten größtenteils lediglich implizit angegeben. Chisel sorgt zudem für eine Reduktion der Größe des Basis-Images um sieben Prozent.

Ubuntu Core setzt auf Full Disk Encryption und speichert Schlüssel mit den LUKS2-Headern im TPM. Auch Arm-Trusted-Execution-Environments (TEE) werden unterstützt. Die Verbesserungen bezüglich Sicherheit aus Ubuntu 26.04 ziehen auch in Ubuntu Core 26 ein. Etwa Livepatch bringt das Anwenden von Sicherheitspatches im Kernel ohne Neustart nun auch auf ARM64-Architekturen. Sogar rückwirkend offiziell ab Core 20. Canonical verspricht „Zero-Downtime“.

Die Ankündigung im Blogbeitrag nennt noch weitere nützliche Funktionen für die Verwaltung in größeren Netzen. Zuletzt brachte Ubuntu Core 24 größere Änderungen am IoT-Betriebssystem.

(dmk)