Datenschutz & Sicherheit
NGINX: DoS-Lücke wird angegriffen | heise online
Im ngx_http_rewrite_module von NGINX Open Source und NGINX Plus ermöglicht eine Schwachstelle nicht authentifizierten Angreifern aus dem Netz, die Server lahmzulegen. In Sonderfällen könnten sie sogar Schadcode einschleusen und ausführen. Erste Angriffe wurden bereits beobachtet.
Weiterlesen nach der Anzeige
Eine Sicherheitsmeldung von F5 erörtert die Sicherheitslücke. Die Schwachstelle im Rewrite-Modul lässt sich missbrauchen, wenn einer Rewrite-Direktive eine rewrite-, if– oder set-Direktive und eine Perl-kompatible Regular Expression folgt, die Ersetzung mit einem Ausdruck mit einem „?“ darin vornimmt. Dann können Angreifer aus dem Netz ohne vorherige Anmeldung mit manipulierten Paketen einen Heap-basierten Pufferüberlauf im NGINX-Worker-Prozess auslösen, der zu einem Neustart führt (Denial of Service, DoS). In dem unwahrscheinlichen Fall, dass die Address Space Layout Randomization (ASLR) deaktiviert ist, kann das sogar zur Ausführung von eingeschleustem Code führen (CVE-2026-42945, CVSS 8.1, Risiko „hoch“; CVSS4 9.2, Risiko „kritisch“). Die modernere Schwachstellenbewertung kommt zu einer höheren Risikoeinschätzung.
Die Lücke ist gut abgehangen, der verantwortliche Programmcode hat die Volljährigkeitsgrenze überschritten: 18 Jahre hat er auf dem Buckel. Ein Proof-of-Concept-Exploit (PoC) demonstriert den Missbrauch der „NGINX Rift“-Schwachstelle. VulnCheck gibt auf LinkedIn an, inzwischen aktiven Missbrauch der Sicherheitslücke in freier Wildbahn beobachtet zu haben. Im Regelfall führt das zu einem DoS gegen verwundbare Server, von denen laut VulnCheck 5,7 Millionen im Internet erreichbar sind.
Weitere Sicherheitslücken in NGINX OSS und Plus
In NGINX OSS und Plus sind noch weitere Schwachstellen entdeckt worden, die jedoch eine deutlich geringere Risikoeinschätzung aufweisen. Im HTTP/3-QUIC-Modul gibt es eine Spoofing-Lücke (CVE-2026-40460, CVSS 6.5, Risiko „mittel“). ngx_http_scgi_module und ngx_http_uwsgi_module können exzessiv Speicher belegen oder Daten preisgeben (CVE-2026-42946, CVSS 6.5, Risiko „mittel“). Weitere Schwachstellen betreffen den HTTP/2-Proxy-Modus (CVE-2026-42926, CVSS 5.8, Risiko „mittel“), das ngx_http_charset_module (CVE-2026-42934, CVSS 4.8, Risiko „mittel“) und das ngx_http_ssl_module (CVE-2026-40701, CVSS 4.8, Risiko „mittel“).
Nicht alle Lücken betreffen alle NGINX-OSS- und -Plus-Versionen, jedoch sind die jüngsten Fassungen mit Korrekturen für die jeweils enthaltenen Schwachstellen ausgerüstet. F5 nennt die Versionen NGINX Plus 37.0.0, R36 P4 und R32 P6, NGINX Open Source 1.31.0 und 1.30.1 (0.xer-Versionen erhalten keinen Fix) und weitere, die die sicherheitsrelevanten Fehler ausbessern. Für mehrere Lösungen hat F5 jedoch noch keine Fixes zur Hand, beispielsweise NGINX Instance Manager, NGINX App Protect WAF und weiteren. Insbesondere für die bereits attackierte Sicherheitslücke nennt F5 in der Mitteilung aber auch Anpassungen für Rewrite-Regeln, die die Schwachstellen nicht aufweisen.
Zuletzt fielen eher Sicherheitslücken im Web-Interface Nginx UI auf. Die haben Angreifern etwa ermöglicht, ganze Instanzen zu übernehmen.
Weiterlesen nach der Anzeige
(dmk)
Datenschutz & Sicherheit
Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“

Das wissenschaftliche KI-Gremium der Vereinten Nationen hat am Mittwoch einen ersten vorläufigen Bericht zu den Chancen, Risiken und Einsatzmöglichkeiten Künstlicher Intelligenz veröffentlicht. KI könne massive Fortschritte in der Medizin, der Landwirtschaft und vielen weiteren Feldern bringen. Doch die Kluft zwischen ihrer rapiden Entwicklung und der aktuellen KI-Regulierung kann dem Bericht zufolge katastrophale Folgen haben, etwa in der Biotechnologie oder Cybersicherheit.
Das Gremium sieht ein großes Dilemma. Auf der einen Seite sollen Regierungen möglichst evidenzbasiert handeln. Auf der anderen Seite entwickeln sich KI-Technologien so schnell, dass Regulierung zu spät komme, wenn wissenschaftliche Befunde feststehen. „Die Fähigkeiten Künstlicher Intelligenz entwickeln sich schneller weiter, als es möglich ist, sie zu messen oder regulieren“, heißt es im Bericht. Zudem könne KI aktiv über ihre Fähigkeiten hinwegtäuschen. Selbst unter den Industrieländern mangele es an technischer Expertise, um Gefahren fortschrittlicher KI-Modelle einzuschätzen.
KI verstärkt globale Ungleichheiten
Ein weiterer Schwerpunkt des Berichts liegt auf dem Digital Divide, der Spaltung im Zugang zu Technologien zwischen reichen und armen Ländern. Folgen der Technologie für die Umwelt würden den Globalen Süden stärker treffen als den Norden, verzerrte KI-Modelle und Deepfakes vor allem marginalisierten Gruppen schaden. Darüber hinaus geht es den Fachleuten um Mitbestimmung: Länder, die KI zwar einsetzen, aber keinen Einfluss auf ihre Entwicklung haben, würden Anschluss und Kontrolle verlieren. Zu investieren sei deshalb lokal: nicht nur in eigene Infrastrukturen, sondern auch in KI-Kompetenz und Regulierungsmaßnahmen.
Das Gremium aus 40 internationalen Forschenden verschiedener Disziplinen soll unabhängig von den Vereinten Nationen arbeiten. Seine Aufgabe ist nicht, direkte politische Maßnahmen vorzuschlagen. Vielmehr sollen die Fachleute den aktuellen Wissensstand aufzeigen, damit daraus entsprechende Schritte abgeleitet werden können. Unter Künstlicher Intelligenz fasst das Gremium alle Maschinensysteme, die „wahrnehmen, lernen und handeln“.
Vom 6. bis 7. Juli findet in Genf der erste Global Dialogue on AI Governance statt: Hier dient der Bericht als Grundlage für die Gespräche der UN-Mitgliedsstaaten. Die Arbeit des Gremius geht unterdessen weiter. Der Bericht soll kontinuierlich erweitert werden, außerdem plant das Gremium Berichte zu inhaltlichen Schwerpunkten wie KI und Umwelt oder KI und Kinderschutz.
„Wir können nicht mehr sagen, wir hätten von nichts gewusst“, sagte UN-Generalsekretär António Guterres auf der Pressekonferenz zum Bericht. „Was wir damit tun, hängt jetzt von uns allen ab.“
Datenschutz & Sicherheit
Staatliche Transparenz: Angriff auf Informationsfreiheit sorgt weiter für heftige Kritik
Am gestrigen Donnerstag hatte die schwarz-rote Koalition ihre Pläne aus dem Koalitionsausschuss vorgestellt. Mit dabei: Ein Frontalangriff auf die Informationsfreiheit, den zahlreiche Medien- und Journalistenverbände scharf verurteilen. Vom „schwersten Angriff auf staatliche Transparenz in der Geschichte der Bundesrepublik“ ist da die Rede und davon, dass die Bundesregierung die Informationsfreiheit in die Tonne trete.
Mit ihrem Urteil sind die zivilgesellschaftlichen Organisationen nicht allein. Auch Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) teilt die Kritik. „Einige der vom Koalitionsausschuss genannten Anpassungen hätten eine erhebliche Tragweite, die im Ergebnis einer Abschaffung der seit zwanzig Jahren bestehenden Informationsfreiheit nahekämen“, sagte Specht-Riemenschneider gegenüber dem RedaktionsNetzwerk Deutschland (RND).
Aus ihrer Sicht werde der Grundgedanke eines grundsätzlich voraussetzungslosen Zugangs zu amtlichen Informationen in sein Gegenteil verkehrt. Denn in Zukunft sollen Anfragende ein „berechtigtes Interesse“ an den abgefragten Dokumenten darlegen. Bislang muss der Staat begründen, wenn er Informationen nicht herausgeben will. „Hier sollte daran festgehalten werden, dass der Staat im Einzelfall darlegen muss, dass das öffentliche Interesse der Transparenz entgegensteht“, so Specht-Riemenschneider gegenüber dem RND.
„Undemokratisch“
Specht-Riemenschneider kritisiert zudem, dass die Pläne in Zukunft eine große Anzahl von Menschen in Deutschland ausschließen würde. Die Koalition plant das Auskunftsrecht auf Deutsche und EU-Bürger:innen zu beschränken. Die Bundesdatenschutzbeauftragte sagt, dies führe zu einer undemokratischen Zwei-Klassen-Informationsfreiheit.
Kritik an den Plänen kommt auch von der Linkspartei. Die Digitalpolitikerin Sonja Lemke kritisiert, dass die Koalition die Informationsfreiheit de facto abschaffen will. „Mit den Angriffen auf das Informationsfreiheitsgesetz will die Bundesregierung ihre Hinterzimmerpolitik durchsetzen. Dabei ist Transparenz gegenüber den Bürger*innen in einer Demokratie Pflicht! Denn nur so können Interessenkonflikte und geheime Machenschaften aufgedeckt werden“, so Lemke gegenüber netzpolitik.org.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Sie verweist darauf, dass durch IFG-Anfragen „rechtswidrige Machenschaften“ von Regierungspolitikern aufgedeckt worden seien. „Sei es bei Spahn und seinen Maskendeals oder seiner Villa, Katharina Reiche mit ihrer Wirtschaftskumpanei oder bei Phillip Amthors Werbung für Augustus Intelligence: Diese Personen machen deutlich, warum es eine staatliche Transparenz mit einer klaren Benennung der Verantwortlichen braucht.“
Auf einen solchen Zusammenhang verweist auch der investigative Journalist Markus Grill auf Bluesky: „Die von der CDU/SPD-Regierung geplante massive Einschränkung des Informationsfreiheitsgesetzes (IFG) wird die Arbeit investigativer Journalisten, und damit die Aufklärung über Missstände bzw. die Kontrolle der Regierung, sehr behindern. Viele Spahn-Enthüllungen z.B. wären ohne IFG unmöglich gewesen.“
Bundesregierung will zentrale demokratische Rechte beschneiden
Yannick Müller von D64 verweist gegenüber netzpolitik.org darauf, dass unter der Ampel-Regierung sogar ein bundesdeutsches Transparenzgesetz geplant war, das die Informationsfreiheit ausbauen sollte. „Die Einschränkung des IFG ergibt sich also nicht aus der Verwaltungspraxis heraus, sondern aus dem politischen Willen gegen mehr Transparenz“, sagt Müller.
Manfred Redelfs aus dem Investigativteam bei Greenpeace spricht von einem „massiven Schlag gegen Transparenz und Beteiligungsrechte“. Er schreibt: „Ausgerechnet in Zeiten, in denen viele Menschen mit den demokratischen Institutionen hadern, versucht die Bundesregierung, zentrale demokratische Rechte zu beschneiden. Vertrauen schafft man aber nicht durch Abschottung und Geheimhaltung, sondern nur durch Transparenz.“
Auf das Vertrauensproblem weist auch Lilli Iliev von Wikimedia Deutschland hin: „Das Vertrauen in Politik und Demokratie ist auf einem Rekordtief. Mit dem Rückbau in Sachen Transparenz wird das Misstrauen weiter zunehmen.“ Sie fordert deswegen: „Wir brauchen mehr Transparenz, nicht weniger – für alle.“
Datenschutz & Sicherheit
Jetzt updaten: Kritische Lücken in Ubiquiti UniFi erlauben Remote-Angriffe
Ubiquiti hat Aktualisierungen für eine ganze Reihe von UniFi-Produkte bereitgestellt. Die darin behobenen Sicherheitslücken könnten unter bestimmten Voraussetzungen missbraucht werden, um aus der Ferne Befehle auszuführen, Authentifizierungsmechanismen zu umgehen oder bestehende Zugriffsrechte auszuweiten.
Weiterlesen nach der Anzeige
Da von den insgesamt 25 Lücken gleich mehrere als kritisch eingestuft und mit CVSS-Scores von 9.0 bis hin zur Höchstwertung 10.0 bewertet wurden, ist zügiges Handeln notwendig. Ubiquitis aktueller Sicherheitshinweis führt alle verfügbaren Updates auf.
Deren zeitnahes Einspielen ist insbesondere auch vor dem Hintergrund ratsam, dass das – nun abermals von Schwachstellen geplagte – UniFi OS bereits im Juni zum Ziel von Angreifern wurde. Die hatten Lecks im Visier, die vom Hersteller schon Ende Mai abgedichtet, von vielen Admins aber offenbar nicht ausreichend ernst genommen wurden.
Verwundbare Produkte & Versionen
Von Schwachstellen von „High“ bis „Critical“ betroffen sind
- mehrere Versionen von UniFi OS
- UniFi Access (bis inkl. Version 4.2.28)
- UniFi Connect (bis inkl. Version 3.4.16)
- UniFi Network (bis inkl. Version 10.3.58)
- UniFi Protect (bis inkl. Version 7.1.77)
- Protect Floodlight (bis inkl. Version 1.13.4) sowie
- UniFi Talk in Versionen bis einschließlich 5.1.2.
Die jeweils abgesicherten Versionen wie auch weitere Details sind dem Sicherheitshinweis zu entnehmen.
Die Lücke CVE-2026-50746 mit Höchstscore 10.0 steckt in UniFi Connect. Laut Beschreibung könnte sie Angreifern mit Netzwerkzugriff dank mangelhafter Zugangskontrollmechanismen ermöglichen, schädliche Befehle auf dem Host auszuführen (Command Injection).
Weiterlesen nach der Anzeige
(ovw)
-
Künstliche Intelligenzvor 3 MonateniX-Workshop Angriffsziel lokales AD − Schwachstellen finden und beheben
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 2 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Apps & Mobile Entwicklungvor 2 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
