[CERT-daily] Tageszusammenfassung - Dienstag 4-03-2014

Tue Mar 4 18:20:38 CET 2014

=======================
= End-of-Shift report =
=======================

Timeframe:   Montag 03-03-2014 18:00 − Dienstag 04-03-2014 18:00
Handler:     Alexander Riepl
Co-Handler:  Stephan Richter


*** TLS: Sicherheitslücke bei Client-Authentifizierung ***
---------------------------------------------
Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.
---------------------------------------------
http://www.golem.de/news/tls-sicherheitsluecke-bei-client-authentifizierung-1403-104898-rss.html


*** Webspace: Sicherheitsrisiko FTP ***
---------------------------------------------
Wer eine eigene Webseite betreibt, überträgt sie meist per FTP zum Webhoster. Dabei kommt häufig keine Verschlüsselung zum Einsatz. Kein einziger großer Provider weist seine Kunden auf diese Risiken adäquat hin; bei manchen Providern ist eine verschlüsselte Verbindung überhaupt nicht möglich.
---------------------------------------------
http://www.golem.de/news/webspace-sicherheitsrisiko-ftp-1403-104889-rss.html


*** Großangriff auf Router: DNS-Einstellungen manipuliert ***
---------------------------------------------
Forscher entdeckten einen Großangriff auf Router: Bei über 300.000 Routern, die im Privat- oder Büroeinsatz sind, wurden angeblich die DNS-Einstellungen manipuliert. Die Angreifer hätten dadurch jederzeit den Datenverkehr der Geräte umleiten können.
---------------------------------------------
http://www.heise.de/security/meldung/Grossangriff-auf-Router-DNS-Einstellungen-manipuliert-2132674.html


*** Sicherheitslücke: GnuTLS jetzt mit "goto fail" ***
---------------------------------------------
Auch die Open-Source-Bibliothek für gesicherte Verbindungen weist einen schwerwiegenden Fehler beim überprüfen von Zertifikaten auf. Aktuelle Patches sollen ihn beheben.
---------------------------------------------
http://www.heise.de/security/meldung/Sicherheitsluecke-GnuTLS-jetzt-mit-goto-fail-2133192.html


*** GNUTLS-SA-2014-2 - Certificate Verification Issue ***
---------------------------------------------
A vulnerability was discovered that affects the certificate verification functions of all gnutls versions. A specially crafted certificate could bypass certificate validation checks.
---------------------------------------------
http://gnutls.org/security.html#GNUTLS-SA-2014-2


*** WordPress plugin Google Analytics MU 2.3 CSRF ***
---------------------------------------------
Topic: WordPress plugin Google Analytics MU 2.3 CSRF Risk: Low Text:Details = Software: Google Analytics MU Version: 2.3 Homepage: http://wordpress.org/plugins/google-analytics-mu/ CVSS...
---------------------------------------------
http://cxsecurity.com/issue/WLB-2014030018


*** Joomla 3.2.2 Cross Site Scripting ***
---------------------------------------------
Topic: Joomla 3.2.2 Cross Site Scripting Risk: Low Text:# == # Title ...| Persistent pre-auth XSS in Joomla # Version .| Joomla 3.2.2 # Date ....| 3.03.2014 #...
---------------------------------------------
http://cxsecurity.com/issue/WLB-2014030030