Mit IPFire 2.29 – Core Update 202 schließt das Team der freien Firewall-Distribution mehrere Sicherheitslücken im Linux-Kernel, aktualisiert OpenVPN auf Version 2.7 und liefert zahlreiche weitere Sicherheits- und Paketupdates.

Kernel-Lücken Dirty Frag und Copy Fail

Im Zentrum steht ein Rebase auf Linux 6.18.32. Damit behebt IPFire unter anderem die kürzlich bekannt gewordenen Lücken Dirty Frag (CVE-2026-43284) und Copy Fail (CVE-2026-31431). Beide erlauben lokalen Nutzern eine Rechteausweitung bis hin zu root. Dirty Frag steckt im ESP/IPsec-Code des Kernels. Encapsulating Security Payload (ESP) ist ein zentraler Baustein vieler IPsec-VPNs. Über die Lücke können sich unprivilegierte lokale Nutzer unter bestimmten Bedingungen höhere Rechte verschaffen.

Copy Fail betrifft das Krypto-Subsystem rund um AF_ALG und das Modul algif_aead. AF_ALG bietet Anwendungen direkten Zugriff auf kryptografische Funktionen des Kernels. Verwundbar sind potenziell alle Linux-Distributionen mit Kerneln seit 2017.

Das Projekt ordnet die praktische Angriffsfläche auf typischen IPFire-Systemen allerdings als gering ein: Beide Lücken setzen lokalen Zugriff mit einem unprivilegierten Konto voraus, und IPFire richtet standardmäßig keine regulären Shell-Zugänge für normale Nutzer ein. Dennoch verweisen die Entwickler auf das Prinzip „Defence in Depth“ und raten unabhängig von der konkreten Ausnutzbarkeit zum Update.

OpenVPN 2.7 beschleunigt VPN-Tunnel

Die wichtigste funktionale Neuerung ist OpenVPN 2.7 mit Unterstützung für Data Channel Offloading (DCO) – dank besserer Nutzung der Hardware-Kryptobeschleunigung sinkt dabei auch die CPU-Last. Dabei wandert die Ver- und Entschlüsselung des Nutzdatenverkehrs vom Userspace in den Kernel. Bisher musste der OpenVPN-Daemon jedes Paket selbst verarbeiten. Durch die Kernel-Integration soll DCO den VPN-Durchsatz deutlich erhöhen und gleichzeitig CPU-Last und Jitter senken. In eigenen Tests stieg der Durchsatz pro Tunnel laut IPFire von rund 1 GBit/s auf bis zu 10 GBit/s.

Außerdem behebt das Update eine Schwachstelle in glibc bei der Verarbeitung manipulierter DNS-Antworten. Betroffen sind die Funktionen gethostbyaddr und gethostbyaddr_r für Reverse-DNS-Abfragen. Angreifer könnten darüber gefälschte Hostnamen einschleusen (GLIBC-SA-2026-0005). Aktualisiert haben die Entwickler darüber hinaus zentrale Komponenten wie OpenSSL 3.6.2, OpenSSH 10.3p1, Suricata 8.0.5, strongSwan 6.0.6, BIND 9.20.22 und Unbound 1.25.1. Alle Details zum Core Update 202 stehen in den Release Notes auf der Projektwebseite.

(fo)

Weil mehrere Komponenten von Drittanbietern in IBMs QRadar SIEM Softwareschwachstellen aufweisen, können Angreifer die IT-Sicherheitslösung attackieren. Nun ist eine Ausgabe mit Sicherheitspatches erschienen.

Instanzen vor möglichen Attacken schützen

In einer Warnmeldung versichern die Entwickler, die Sicherheitsprobleme in IBMs QRadar SIEM 7.5.0 UP15 IF03 gelöst zu haben. Insgesamt haben sie der Meldung zufolge Updates für 29 Lücken in Komponenten wie dem Linux-Kernel, OpenSSH und Vim implementiert.

Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. An diesen Stellen können Angreifer unter anderem für Schadcode-Attacken (etwa in libarchive CVE-2026-5121 „hoch“) ansetzen.

Aus IBMs Warnmeldung geht nicht hervor, ob Angreifer die Schwachstellen bereits ausnutzen. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

(des)

Ein Software-Update der auf Motorola-Smartphones vorinstallierten Smart-Feed-App leitet Nutzer beim Öffnen der Amazon-App über den Browser um, um dann Affiliate-Codes einzuschleusen. Betroffen sind offenbar auch Besitzerinnen und Besitzer von High-End-Geräten wie dem Razr 60 Ultra. Unklar sind derweil die konkreten Hintergründe.

Eingeschleuste Affiliate-Codes

„Mir ist in letzter Zeit etwas Seltsames an meinem Razr 60 Ultra aufgefallen: Wenn ich versucht habe, die Amazon-App zu öffnen, wurde stattdessen der Browser gestartet und ich wurde auf eine verdächtig aussehende URL weitergeleitet, die mich dann mit einem Partnercode zu amazon.com weiterleitete“, berichtet der Redditor Trypocopris.

Um dem genauer auf den Grund zu gehen, hat Trypocopris per ADB Log einen Blick auf den Netzwerkverkehr seines Smartphones geworfen. Dieser zeigte auf, dass eine Reihe von Anfragen an die Adresse „devicenative.com“ gesendet werden. Seine Vermutung: Diese Seite teile dem Programm mit, auf welche Apps es abzielen und welche Affiliate-Codes es verwenden soll. Dieser Prozess geht offenbar auf die Smart-Feed-App zurück, die Motorola auf vielen seiner Smartphones vorinstalliert hat.

„Wenn man dann im Launcher auf die App klickt, fängt es die Aktion ab und leitet einen zu ihrem Affiliate-Link weiter. Hätte ich die Option ‚Links standardmäßig in der App öffnen‘ nicht deaktiviert, hätte ich gar nicht bemerkt, dass etwas nicht stimmt“, schreibt der Redditor weiter.

Das Blog 9to5Google kann die Beobachtung des Redditors verifizieren und auch eingrenzen, ab welcher Version der Smart-Feed-App die Affiliate-Links injiziert werden: Auf einem Razr (2026) mit einer älteren Version der App (v2.03.0056) trete dies noch nicht auf, sondern erst mit der App-Version 2.03.0070 zeige sich das Verhalten.

Unklarheiten

9to5Google ging dem Ganzen weiter auf den Grund und stellte fest, dass eine Weiterleitung des Verkehrs über eine Website laufe, die mit einer Mode-Influencerin in Verbindung stehen soll. Die entdeckte URL tauche jedoch nirgendwo in Abbouds sozialen Kanälen aufgeführt auf und auch die Affiliate-Codes stimmen nicht mit ihren bekannten überein, heißt es. Die Weiterleitung von Motorola-Geräten verwende ferner den Amazon-Affiliate-Code „sramz-kff-008-20“, der sich von allen Codes unterscheide, die das Blog in den geteilten Links und den verlinkten Websites der Influencerin gefunden habe.

Derzeit ist unklar, wer konkret hinter der Masche steckt und wie die Smart-Feed-App für das Injizieren des Affiliate-Codes manipuliert werden konnte. Ob Motorola dahinter steckt, ist unklar. Auch ein Fehler in einem vorinstallierten Werbe-SDK könnte dieses Phänomen ausgelöst haben. Eine Anfrage von heise online bei Motorola blieb bis zur Veröffentlichung des Artikels noch unbeantwortet.

Abschalten

Falls die App auf einem Gerät vorinstalliert sein sollte, können Nutzerinnen und Nutzer sie deaktivieren. Hierfür öffnet man die Einstellungen, begibt sich zum Punkt „Apps“ und sucht dort nach „Smart Feed“. Hier wählt man nun „Deaktivieren“, um das Tracking zu stoppen.

(afl)