Das Open-Source-Kanban Kanboard ist von drei Schwachstellen betroffen. Eine davon gilt den Entwicklern als kritisches Risiko und ermöglicht die Anmeldung als beliebiger User – sofern eine bestimmte Konfigurationsoption gesetzt ist.

Die Release-Ankündigung zu Kanboard 1.2.49 nennt einige sicherheitsrelevante Korrekturen. Zu den Schwachstellen gibt es auch CVE-Einträge. Sofern die Option REVERSE_PROXY_AUTH aktiviert wurde, vertraut Kanboard HTTP-Headern blindlings, dass sie von authentifizierten Usern stammen, ohne zu prüfen, ob die Anfrage von einem vertrauenswürdigen Reverse-Proxy stammt (CVE-2026-21881, CVSS 9.1, Risiko „kritisch“). Das ermöglicht faktisch die Umgehung der Authentifizierung.

Kanboard: auch mittelschwere Sicherheitslücken

Zudem können Angreifer eigene Eingaben in LDAP-Suchfilter einschleusen, die nicht korrekt ausgefiltert werden. Damit lassen sich alle LDAP-User durchiterieren und sensible Nutzerattribute herausfinden, und mit diesem Wissen gezielte Angriffe gegen bestimmte Accounts ausführen (CVE-2026-21880, CVSS 5.4, Risiko „mittel“). Eine Open-Redirect-Schwachstelle ermöglicht Angreifern, authentifizierte User auf von ihnen kontrollierte Webseiten umzuleiten, indem sie URLs der Gestalt „//evil.com“ erstellen, womit sich der URL-Filter umgehen lässt. Das erlaubt zudem Phishing-Angriffe, das Stehlen von Zugangsdaten oder das Verteilen von Malware (CVE-2026-21879, CVSS 4.7, Risiko „mittel“).

All die Probleme lösen die Entwickler in Kanboard 1.2.49. Die aktualisierten Quellen stehen auf der Github-Seite von Kanboard bereit. Die Linux-Distributionen dürften in Kürze mit neuen, fehlerbereinigten Paketen nachlegen. IT-Admins sollten die Paketverwaltung ihrer Distribution zur Update-Suche bemühen.

Zuletzt fiel im vergangenen Juni eine hochriskante Sicherheitslücke in Kanboard auf. Sie ermöglichte Angreifern, Kanboard-Konten zu übernehmen.

(dmk)

Debians Frewilligen-Team, das sich um Datenschutzbelange nach Datenschutz-Grundverordnung (DSGVO) gekümmert hat, hat geschlossen abgedankt. Nun sucht das Debian-Projekt neue Freiwillige, die sich für das Thema interessieren und sich eine Mitarbeit vorstellen können.

Das kündigt Projektleiter Andreas Tille in der ersten Mail des Jahres an die Debian-Developer-Mailingliste an. „Das Datenschutz-Team wurde 2018 vor dem Hintergrund der neuen europäischen Datenschutzgesetzgebung ins Leben gerufen, um eine Anlaufstelle für externe Anfragen zu den von Debian gespeicherten Daten zu bieten und Debian-Mitglieder über die Datenschutzverpflichtungen des Projekts zu beraten“, erklärt Tille. Das Team habe die öffentliche Datenschutzerklärung hochgezogen und Anfragen von Einzelpersonen weitergereicht, wo das angemessen war.

Die drei bisherigen Team-Mitglieder sind nun von ihrer Aufgabe zurückgetreten. Tille dankt Jonathan McDowell (noodles), Tollef Fog Heen (tfheen) und Matthew Vernon (matthew) für ihre Arbeit in dem Team. Mit dem Rücktritt wurden ihre Befugnisse nun widerrufen.

Dringend neue Datenschützer gesucht

Da alle drei Mitglieder zur gleichen Zeit zurückgetreten sind, sucht das Debian-Projekt nun dringend nach Freiwilligen, die diese Rolle ausfüllen mögen. Trotz konstruktiver Gespräche auf der Debconf hat sich bislang noch niemand gemeldet, um dem Datenschutz-Team beizutreten. Dadurch landen nun sämtliche DSGVO-Anfragen bei der Projektleitung, die bereits zu viel zu tun habe. „Wenn du dich für Datenschutz interessierst und daran interessiert bist, die bestehende Datenschutzrichtlinie zu verbessern und mit Teams zusammenzuarbeiten, die personenbezogene Daten verarbeiten, um die Arbeitsabläufe für die Bearbeitung von datenschutzbezogenen Anfragen zu verbessern, dann melde dich bitte bei uns!“, schließt Tille seine Mail.

Warum das bisherige Datenschutz-Team geschlossen zurückgetreten ist, erörterte Tille nicht.

(dmk)

In einem Werkzeug der Kompressionsbibliothek zlib, die in zahlreichen Programmen und Betriebssystemen enthalten ist, haben IT-Forscher eine kritische Sicherheitslücke entdeckt. Sie ermöglicht unter Umständen das Einschleusen und Ausführen von Schadcode. Ein Update zum Stopfen des Sicherheitslecks gibt es bislang noch nicht.

Auf der nur noch wenig aktiven Mailingliste Full Disclosure hat der IT-Forscher Ronald Edgerson Informationen zur Sicherheitslücke gepostet. In der Funktion TGZfname() des untgz-Tools von zlib, das sich um die Dekompression von .tar.gz-Archiven (oder oftmals kurz .tgz) kümmert, kann ein Pufferüberlauf auftreten. Ursache ist das Kopieren von Nutzer-übergebenen Daten ohne Längenprüfung mit einem strcpy()-Aufruf auf einen globalen statischen Puffer von 1024 Byte Größe. Durch das Übergeben eines größeren Archivnamens erfolgt ein Schreibzugriff außerhalb der vorgesehenen Speichergrenzen, was zu Speicherverletzungen führt. Die Lücke hat nun den Schwachstelleneintrag CVE-2026-22184 erhalten (CVSS4 9.3, Risiko „kritisch“).

Das untgz-Tool gehört zu Nutzer-beigesteuerten Werkzeugen (im contrib-Ordner des Projekts), die offiziell keinen Support erhalten. Sie sind jedoch auch nicht zwingend Bestandteil von ausgelieferten zlib-Paketen.

Auswirkungen der Sicherheitslücke

Edgerson führt aus, dass die Folgen unter anderem ein Absturz (Denial-of-Service, DoS), Speicherverletzungen von darauffolgenden globalen Objekten, nicht definiertes Verhalten oder sogar die Ausführung von eingeschleustem Code sein könnten. Jedoch gibt es dabei noch Abhängigkeiten vom verwendeten Compiler, der Prozessorarchitektur des Systems, verwendeten Build-Flags und dem Speicherlayout. Der verwundbare Code wird vor jedwedem Parsen oder Prüfungen des Archivs ausgeführt, wodurch sich die Lücke trivial allein durch Aufruf mit präpariertem Kommandozeilenparameter ausnutzen lasse. Da globaler Speicher betroffen sei, könnten die Speicherfehler über die Funktion hinaus wirksam werden und später das Programmverhalten beeinflussen.

Betroffen ist zlib bis einschließlich zur aktuellen Fassung 1.3.1.2, wie Vulncheck angibt, die den CVE-Schwachstelleneintrag erstellt und veröffentlicht haben. Aktualisierte Software steht derzeit noch nicht bereit. Im Github-Projekt von zlib deutet zum Meldungszeitpunkt noch nichts auf Korrekturen im Quellcode hin. Ein Problembericht wurde jedoch kürzlich eingereicht.

Im Herbst 2022 fiel die zlib-Bibliothek zuletzt durch eine kritische Sicherheitslücke auf. Auch dort konnten Angreifer den sicherheitsrelevanten Fehler missbrauchen, um Schadcode einzuschleusen und auszuführen. Damals waren jedoch Aktualisierungen bereits zeitnah verfügbar.

(dmk)