[CERT-daily] Tageszusammenfassung - 28.12.2018

Fri Dec 28 18:08:44 CET 2018

=====================
= End-of-Day report =
=====================

Timeframe:   Donnerstag 27-12-2018 18:00 − Freitag 28-12-2018 18:00
Handler:     Dimitri Robl
Co-Handler:  Stephan Richter

=====================
=       News        =
=====================

∗∗∗ BUNDESGESETZBLATT FÜR DIE REPUBLIK ÖSTERREICH ∗∗∗
---------------------------------------------
111. Bundesgesetz, mit dem das Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen (Netz- und Informationssystemsicherheitsgesetz – NISG) erlassen und das Telekommunikationsgesetz 2003 geändert wird
---------------------------------------------
https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_I_111/BGBLA_2018_I_111.html


∗∗∗ 35C3: Hacker zeigt Schwachstellen in IoT-Netzwerk Sigfox auf ∗∗∗
---------------------------------------------
Die Datenkommunikation über das Sigfox-Funknetz, das auf das Internet der Dinge ausgerichtet ist, lässt sich momentan bei vielen Geräten recht einfach abhören.
---------------------------------------------
http://heise.de/-4259662


∗∗∗ Warnung vor elektro-hilfe.at ∗∗∗
---------------------------------------------
Bei elektro-hilfe.at handelt es sich um einen 24h-Elektriker-Notdienst, der verspricht, Pannen und Schäden die durch Wasserrohrbrüche, verstopfte Leitungen u.Ä. verursacht wurden, zu beheben. Verlockend klingen vor allem auch die günstigen Preise, mit denen auf der Website geworben wird. Der Anbieter ist nicht vertrauenswürdig, denn vor Ort werden überhöhte Preise verrechnet.
---------------------------------------------
https://www.watchlist-internet.at/news/warnung-vor-elektro-hilfeat/


∗∗∗ Hijacking Online Accounts Via Hacked Voicemail Systems ∗∗∗
---------------------------------------------
Proof-of-concept hack of a voicemail systems shows how it can lead to account takeovers multiple online services.
---------------------------------------------
https://threatpost.com/hijacking-online-accounts-via-hacked-voicemail-systems/140403/


∗∗∗ Guardzilla Home Cameras Open to Anyone Wanting to Watch Their Footage ∗∗∗
---------------------------------------------
The home surveillance cams have hard-coded credentials.
---------------------------------------------
https://threatpost.com/guardzilla-cameras-flaw/140415/


=====================
=  Vulnerabilities  =
=====================

∗∗∗ Security updates for Thursday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (ghostscript, graphicsmagick, libarchive, libsndfile, libvncserver, ruby-sanitize, and wireshark), Fedora (mosquitto and tinc), Mageia (monit, sqlite3, and thunderbird), and SUSE (openssl).
---------------------------------------------
https://lwn.net/Articles/775635/


∗∗∗ Security updates for Friday ∗∗∗
---------------------------------------------
Security updates have been issued by Debian (libphp-phpmailer), Fedora (mosquitto and tinc), and Mageia (ruby-i18n and tcpdump).
---------------------------------------------
https://lwn.net/Articles/775670/


∗∗∗ IBM Security Bulletin: Multiple vulnerabilities in IBM Java SDK affect IBM Tivoli Application Dependency Discovery Manager (TADDM) ∗∗∗
---------------------------------------------
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-multiple-vulnerabilities-in-ibm-java-sdk-affect-ibm-tivoli-application-dependency-discovery-manager-taddm-3/


∗∗∗ IBM Security Bulletin: Open Source Apache Tomcat vulnerabilities affect IBM Tivoli Application Dependency Discovery Manager (TADDM) (CVE-2018-11784) ∗∗∗
---------------------------------------------
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-open-source-apache-tomcat-vulnerabilities-affect-ibm-tivoli-application-dependency-discovery-manager-taddm-cve-2018-11784/


∗∗∗ BIG-IP APM portal access may potentially leak host name information for back-end servers ∗∗∗
---------------------------------------------
https://support.f5.com/csp/article/K31333705


∗∗∗ BIG-IP APM webtop vulnerability CVE-2018-15334 ∗∗∗
---------------------------------------------
https://support.f5.com/csp/article/K74114570


∗∗∗ BIG-IP ARM BGP vulnerability CVE-2018-17539 ∗∗∗
---------------------------------------------
https://support.f5.com/csp/article/K17264695


∗∗∗ The BIG-IP AFM policy does not classify a DNS query name with a label length greater than 23 bytes ∗∗∗
---------------------------------------------
https://support.f5.com/csp/article/K95010813


∗∗∗ BIG-IP vulnerability CVE-2018-15333 ∗∗∗
---------------------------------------------
https://support.f5.com/csp/article/K53620021


∗∗∗ BIG-IP APM OAuth failure response message vulnerability CVE-2018-15335 ∗∗∗
---------------------------------------------
https://support.f5.com/csp/article/K27617652


Next End-of-Day report: 2019-01-02

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily