Connect with us

Datenschutz & Sicherheit

NGINX: DoS-Lücke wird angegriffen | heise online


Im ngx_http_rewrite_module von NGINX Open Source und NGINX Plus ermöglicht eine Schwachstelle nicht authentifizierten Angreifern aus dem Netz, die Server lahmzulegen. In Sonderfällen könnten sie sogar Schadcode einschleusen und ausführen. Erste Angriffe wurden bereits beobachtet.

Weiterlesen nach der Anzeige

Eine Sicherheitsmeldung von F5 erörtert die Sicherheitslücke. Die Schwachstelle im Rewrite-Modul lässt sich missbrauchen, wenn einer Rewrite-Direktive eine rewrite-, if– oder set-Direktive und eine Perl-kompatible Regular Expression folgt, die Ersetzung mit einem Ausdruck mit einem „?“ darin vornimmt. Dann können Angreifer aus dem Netz ohne vorherige Anmeldung mit manipulierten Paketen einen Heap-basierten Pufferüberlauf im NGINX-Worker-Prozess auslösen, der zu einem Neustart führt (Denial of Service, DoS). In dem unwahrscheinlichen Fall, dass die Address Space Layout Randomization (ASLR) deaktiviert ist, kann das sogar zur Ausführung von eingeschleustem Code führen (CVE-2026-42945, CVSS 8.1, Risiko „hoch“; CVSS4 9.2, Risiko „kritisch“). Die modernere Schwachstellenbewertung kommt zu einer höheren Risikoeinschätzung.

Die Lücke ist gut abgehangen, der verantwortliche Programmcode hat die Volljährigkeitsgrenze überschritten: 18 Jahre hat er auf dem Buckel. Ein Proof-of-Concept-Exploit (PoC) demonstriert den Missbrauch der „NGINX Rift“-Schwachstelle. VulnCheck gibt auf LinkedIn an, inzwischen aktiven Missbrauch der Sicherheitslücke in freier Wildbahn beobachtet zu haben. Im Regelfall führt das zu einem DoS gegen verwundbare Server, von denen laut VulnCheck 5,7 Millionen im Internet erreichbar sind.

In NGINX OSS und Plus sind noch weitere Schwachstellen entdeckt worden, die jedoch eine deutlich geringere Risikoeinschätzung aufweisen. Im HTTP/3-QUIC-Modul gibt es eine Spoofing-Lücke (CVE-2026-40460, CVSS 6.5, Risiko „mittel“). ngx_http_scgi_module und ngx_http_uwsgi_module können exzessiv Speicher belegen oder Daten preisgeben (CVE-2026-42946, CVSS 6.5, Risiko „mittel“). Weitere Schwachstellen betreffen den HTTP/2-Proxy-Modus (CVE-2026-42926, CVSS 5.8, Risiko „mittel“), das ngx_http_charset_module (CVE-2026-42934, CVSS 4.8, Risiko „mittel“) und das ngx_http_ssl_module (CVE-2026-40701, CVSS 4.8, Risiko „mittel“).

Nicht alle Lücken betreffen alle NGINX-OSS- und -Plus-Versionen, jedoch sind die jüngsten Fassungen mit Korrekturen für die jeweils enthaltenen Schwachstellen ausgerüstet. F5 nennt die Versionen NGINX Plus 37.0.0, R36 P4 und R32 P6, NGINX Open Source 1.31.0 und 1.30.1 (0.xer-Versionen erhalten keinen Fix) und weitere, die die sicherheitsrelevanten Fehler ausbessern. Für mehrere Lösungen hat F5 jedoch noch keine Fixes zur Hand, beispielsweise NGINX Instance Manager, NGINX App Protect WAF und weiteren. Insbesondere für die bereits attackierte Sicherheitslücke nennt F5 in der Mitteilung aber auch Anpassungen für Rewrite-Regeln, die die Schwachstellen nicht aufweisen.

Zuletzt fielen eher Sicherheitslücken im Web-Interface Nginx UI auf. Die haben Angreifern etwa ermöglicht, ganze Instanzen zu übernehmen.

Weiterlesen nach der Anzeige


(dmk)



Source link

Datenschutz & Sicherheit

Frühere Staatstrojaner-Untersuchungen der EU: Ausschussmitglied mehrfach mit Pegasus-Software infiziert



Frühere Staatstrojaner-Untersuchungen der EU: Ausschussmitglied mehrfach mit Pegasus-Software infiziert

Nicht mal einen irreführenden Link habe Stelios Kouloglou angeklickt. Dennoch wurde das Mitglied des EU-Sonderausschusses, das in den Jahren 2022 und 2023 den Einsatz kommerzieller Staatstrojaner-Software und mögliche Verstöße gegen EU-Recht untersuchte, selbst Opfer mehrerer Angriffe. Das kanadische Citizen Lab hat heute einen Bericht veröffentlicht, demzufolge auch geheime Dokumente und Besprechungen ausgespäht worden sein könnten.

Stelios Kouloglou ist investigativer Journalist und war zwischen 2015 und 2024 Mitglied des EU-Parlaments. Im Jahr 2022 wurde er stellvertretendes Mitglied des PEGA-Komitees der EU, das als Reaktion auf das Pegasus Project gegründet wurde: Dieses hatte offengelegt, dass Menschen aus dem Journalismus, Aktivismus und der Politik sowie andere Bürger:innen weltweit mit der Software Pegasus ins Visier genommen worden waren. Der Ausschuss sollte die europäische Dimension des Skandals untersuchen und Konsequenzen erarbeiten.

Während der Spionage-Ermittlung ausspioniert

Pegasus ist ein Staatstrojaner des israelischen Unternehmens NSO Group, mit der sich iOS- und Android-Geräte ausspähen lassen. Als Staatstrojaner gelten Programme, mit denen Ermittlungsbehörden heimlich in IT-Systeme eindringen und diese überwachen.

Dem Citizen Lab der Universität Toronto zufolge ist dies der erste Nachweis, dass ein Mitglied des PEGA-Ausschusses Ziel eines Angriffs geworden war. Angestoßen wurde die Analyse durch das Opfer selbst: Im Mai dieses Jahres wandte sich Kouloglou an das Citizen Lab, das eine forensische Analyse seines iPhones durchführte. Das Ergebnis: Sein Gerät wurde gleich zwei Mal, am 21. Oktober 2022 und am 6. und 7. März 2023 mit Pegasus infiziert. Der erste Angriff lag in einer „besonders intensiven“ Arbeitsphase des Komitees zu einem vorläufigen Bericht über Überwachungsfälle. Zum Zeitpunkt des zweiten Angriffs trug Kouloglou zu Diskussionen um den finalen Ausschussbericht bei.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Das Citizen Lab schreibt die Angriffe keinem konkreten Klienten der NSO Group zu. Die Analyse würde aber darauf hinweisen, dass dieselben Angreifenden hinter den Attacken auf sieben russische und belarussische Journalist:innen und Aktivist:innen stecken könnten. Die Infektionen lassen sich mit derselben Apple-ID verbinden. Auf Kouloglous Smartphone kamen offenbar Infektionen in Belgien und Griechenland vor: Die Angreifenden könnten also über eine NSO-Group-Lizenz verfügt haben, die mehrere europäische Länder einschloss.

Alle Arbeit umsonst?

Das Citizen Lab ruft dazu auf, dass frühere Mitglieder des PEGA-Ausschusses und ihre Mitarbeitenden ihre Geräte analysieren lassen sollten. Es liege an der EU und auch nationalen Parlamenten, Angriffe auf ihre Parlamentsmitglieder und parlamentarische Prozesse zu untersuchen.

Dass die Analyse politisches Gehör findet, ist unwahrscheinlich: Die Empfehlungen des Komitees stauben ein. Seitdem haben abermalige Untersuchungen den Einsatz weiterer Staatstrojaner aufgedeckt. In Deutschland wurde noch in diesem Jahr ein Gesetzentwurf diskutiert, der der Bundespolizei erlauben würde, Geräte mit Schadsoftware zu infiltrieren.



Source link

Weiterlesen

Datenschutz & Sicherheit

Kommentar: CISA-Übereifer macht CVSS-Scores wertlos


Wer als Admin für das Beseitigen von Sicherheitslücken zuständig ist – oder als Journalist über ebensolche berichten will, um Verantwortlichen die Arbeit zu erleichtern –, ist auf zuverlässige Informationsquellen angewiesen. Die müssen im allerersten Schritt beim Priorisieren helfen: Welche Updates sollten möglichst zeitnah durchgeführt werden, um Gefahren abzuwenden, und welche können warten?

Weiterlesen nach der Anzeige

Das Common Vulnerability Scoring System (CVSS) soll als De-facto-Standard diese erste Einschätzung erleichtern: Scores von 1.0 („low“) über „medium“ bis hin zum Maximum von 10.0 („critical“) bewerten den Schweregrad. Das klingt wunderbar einfach – doch in der Praxis klaffen die Einschätzungen je nach Quelle oft weit auseinander.

Ursprünglich sollte der Titel dieses Beitrags in etwa so lauten: „Jetzt aktualisieren: Wichtige Sicherheitsupdates für Tomcat und ActiveMQ verfügbar“.

Die Headline eines typischen heise-security-Alerts also, basierend auf einer Warnmeldung des CERT-Bund mit Verweis auf Einträge in der GitHub Advisory Database. Ein Alert deshalb, weil sich unter den gesammelten Sicherheitshinweisen auch zwei als kritisch gekennzeichnete Sicherheitslücken in Apache Tomcat befanden: CVE-2026-53434 und CVE-2026-55276.

Was auf den ersten Blick eindeutig meldenswert schien, verwirrte auf den zweiten. Denn in den Diskussionsbeiträgen auf der Apache-Mailingliste zu CVE-2026-53434 beziehungsweise CVE-2026-55276 schätzt ein Entwickler aus dem Apache-Team die Bedrohung in beiden Fällen als niedrig („low“) ein.

Die Beschreibungen sind jeweils eher knapp. Deutlich wird: CVE-2026-53434 ist nur unter sehr eng gesteckten Bedingungen ausnutzbar, nämlich wenn Admins den sogenannten FFM-Konnektor in Verbindung mit Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) konfiguriert haben. CVE-2026-55276 wiederum ist ein eher vage beschriebener Autorisierungsbug, zu dem ein separates Red-Hat-Advisory anmerkt: „This is a logging-only issue with no runtime security impact[…]“.

Weiterlesen nach der Anzeige

Wie kommen nun die in der National Vulnerability Database (NVD) hinterlegten Scores von 9.1 für CVE-2026-55276 beziehungsweise CVE-2026-53434 zustande?

Ein Blick in die NVD-Einträge mit dem Vermerk „CISA-ADP“ offenbart ein Eingreifen der US-Cybersicherheitsbehörde CISA in den Scoring-Prozess. Die hat seit 2024 die Erlaubnis, in ihrer Rolle als Authorized Data Publisher (ADP) Einträge in der CVE-Datenbank eigenmächtig zu vervollständigen. Zwar nur innerhalb eines vordefinierten Daten-Containers, dafür aber ohne Rücksprache mit den CNAs (CVE Numbering Authorities), die die Einträge angelegt haben. Haben diese keinen CVSS-Punktwert hinterlegt, kann die CISA im Rahmen ihres sogenannten Vulnrichment-Prozesses „nachbessern“.

Entwickler haben diese Praxis in der Vergangenheit immer wieder kritisiert. So äußerte etwa Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, dass der Prozess des CVSS-Scorings schon per se ein hohes Risiko für Fehleinschätzungen berge. Diese Gefahr werde durch eigene Punkteberechnungen autorisierter Instanzen wie der CISA noch verschärft.

Schon die Kritik am CVSS-System selbst reicht von der intransparenten Herleitung von Formeln über die Komplexität im Hinblick auf diverse Zusatzmetriken bis hin zu den Eigeninteressen der jeweils bewertenden Personen, die den Score in eine für sie günstige Richtung von Hype bis Verharmlosung verschieben können.

Wenn dann auch noch eine ADP mit fast zufällig wirkenden Scores dazwischenfunkt, wird aus einer grundsätzlich guten Idee eine reine Zeitverschwendung. Und schlimmstenfalls eine Gefahrenquelle für Admins, die Patches irrtümlich hinten anstellen, weil sie sich zu sehr auf einen Score verlassen haben, statt diesen kritisch zu hinterfragen.

Zurück zu Tomcat und ActiveMQ: Die Updates sollten Sie natürlich trotzdem einspielen. Aber in Ruhe und vielleicht sogar beim Hören des Passwort-Podcasts von heise security, dessen aktuelle Folge sich um Sinn und Unsinn von CVSS und anderen Klassifikationssystemen dreht.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.


(ovw)



Source link

Weiterlesen

Datenschutz & Sicherheit

Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“



Vereinte Nationen: „Wir können nicht mehr sagen, wir hätten von nichts gewusst“

Das wissenschaftliche KI-Gremium der Vereinten Nationen hat am Mittwoch einen ersten vorläufigen Bericht zu den Chancen, Risiken und Einsatzmöglichkeiten Künstlicher Intelligenz veröffentlicht. KI könne massive Fortschritte in der Medizin, der Landwirtschaft und vielen weiteren Feldern bringen. Doch die Kluft zwischen ihrer rapiden Entwicklung und der aktuellen KI-Regulierung kann dem Bericht zufolge katastrophale Folgen haben, etwa in der Biotechnologie oder Cybersicherheit.

Das Gremium sieht ein großes Dilemma. Auf der einen Seite sollen Regierungen möglichst evidenzbasiert handeln. Auf der anderen Seite entwickeln sich KI-Technologien so schnell, dass Regulierung zu spät komme, wenn wissenschaftliche Befunde feststehen. „Die Fähigkeiten Künstlicher Intelligenz entwickeln sich schneller weiter, als es möglich ist, sie zu messen oder regulieren“, heißt es im Bericht. Zudem könne KI aktiv über ihre Fähigkeiten hinwegtäuschen. Selbst unter den Industrieländern mangele es an technischer Expertise, um Gefahren fortschrittlicher KI-Modelle einzuschätzen.

KI verstärkt globale Ungleichheiten

Ein weiterer Schwerpunkt des Berichts liegt auf dem Digital Divide, der Spaltung im Zugang zu Technologien zwischen reichen und armen Ländern. Folgen der Technologie für die Umwelt würden den Globalen Süden stärker treffen als den Norden, verzerrte KI-Modelle und Deepfakes vor allem marginalisierten Gruppen schaden. Darüber hinaus geht es den Fachleuten um Mitbestimmung: Länder, die KI zwar einsetzen, aber keinen Einfluss auf ihre Entwicklung haben, würden Anschluss und Kontrolle verlieren. Zu investieren sei deshalb lokal: nicht nur in eigene Infrastrukturen, sondern auch in KI-Kompetenz und Regulierungsmaßnahmen.

Das Gremium aus 40 internationalen Forschenden verschiedener Disziplinen soll unabhängig von den Vereinten Nationen arbeiten. Seine Aufgabe ist nicht, direkte politische Maßnahmen vorzuschlagen. Vielmehr sollen die Fachleute den aktuellen Wissensstand aufzeigen, damit daraus entsprechende Schritte abgeleitet werden können. Unter Künstlicher Intelligenz fasst das Gremium alle Maschinensysteme, die „wahrnehmen, lernen und handeln“.

Vom 6. bis 7. Juli findet in Genf der erste Global Dialogue on AI Governance statt: Hier dient der Bericht als Grundlage für die Gespräche der UN-Mitgliedsstaaten. Die Arbeit des Gremius geht unterdessen weiter. Der Bericht soll kontinuierlich erweitert werden, außerdem plant das Gremium Berichte zu inhaltlichen Schwerpunkten wie KI und Umwelt oder KI und Kinderschutz.

„Wir können nicht mehr sagen, wir hätten von nichts gewusst“, sagte UN-Generalsekretär António Guterres auf der Pressekonferenz zum Bericht. „Was wir damit tun, hängt jetzt von uns allen ab.“



Source link

Weiterlesen

Beliebt