[CERT-daily] Tageszusammenfassung - Dienstag 23-12-2014

Tue Dec 23 18:09:01 CET 2014

=======================
= End-of-Shift report =
=======================

Timeframe:   Montag 22-12-2014 18:00 − Dienstag 23-12-2014 18:00
Handler:     Alexander Riepl
Co-Handler:  n/a


*** Multiple vulnerabilities in Cisco Jabber Guest Server ***
---------------------------------------------
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8024
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8025
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8024
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-8026


*** SoakSoak Campaign Evolves - New Wave of Attacks ***
---------------------------------------------
Since Sunday, we have seen a new wave of SoakSoak reinfections. The Javascript continues to evolve and load other scripts in order to infect additional websites. We have updates for concerned webmasters looking to stay on top of the threat and ..
---------------------------------------------
http://blog.sucuri.net/2014/12/soaksoak-new-wave-evolution-attacks.html


*** Apache CXF Certificate Validation Flaw Lets Remote Users Spoof SSL Servers ***
---------------------------------------------
Apache CXF Certificate Validation Flaw Lets Remote Users Spoof SSL Servers. A remote user with the ability to conduct a man-in-the-middle attack can supply a specially crafted host name in an X.509 certificate subject's ..
---------------------------------------------
http://www.securitytracker.com/id/1031419


*** Multiple vulnerabilities in VDG products ***
---------------------------------------------
http://xforce.iss.net/xforce/xfdb/99331
http://xforce.iss.net/xforce/xfdb/99334
http://xforce.iss.net/xforce/xfdb/99333
http://xforce.iss.net/xforce/xfdb/99332


*** Anunak: So geht Bankraub im 21. Jahrhundert ***
---------------------------------------------
Die Security-Spezialisten von Fox-IT und Group-IB dokumentieren die Aktivitäten einer russischen Bande, die in die Netze von Banken eingebrochen ist und von dort aus Geldautomaten ausgeräumt hat. Rund 25 Millionen Dollar haben die so geklaut.
---------------------------------------------
http://www.heise.de/security/meldung/Anunak-So-geht-Bankraub-im-21-Jahrhundert-2505940.html


*** Top Facebook scams and malware attacks ***
---------------------------------------------
Millions of people fell for Facebook scams in 2014. Though security experts, companies and tech-savvy users guard against Facebook cyber attacks, many unwary users continue to fall victim to scams on ...
---------------------------------------------
http://www.net-security.org/malware_news.php?id=2935


*** BSI-Kryptohandys: Kaum Anschluss unter dieser Nummer ***
---------------------------------------------
Die Geräte sind angeblich sehr sicher und gewiss sehr teuer. Doch weil die vom BSI zertifizierten Kryptohandys viele Nachteile haben, liegen sie häufig in den Schubladen. Muss das so sein? 
---------------------------------------------
http://www.golem.de/news/bsi-kryptohandys-kaum-anschluss-unter-dieser-nummer-1412-111290.html


*** NTP Daemon unter OS X: Kurzfristiges Update schließt Zeitserver-Sicherheitslücke ***
---------------------------------------------
Apple hat ein Sicherheitsupdate für OS X veröffentlicht, das jeder installieren sollte. Geschlossen wird damit eine unangenehme Sicherheitslücke im Dienst für das Network Time Protocol. 
---------------------------------------------
http://www.golem.de/news/ntp-daemon-unter-os-x-kurzfristiges-update-schliesst-zeitserver-sicherheitsluecke-1412-111327.html


*** Linux-Kernel: Live Patching soll im Frühjahr 2015 bereitstehen ***
---------------------------------------------
Die Kernel-Entwickler wollen die Live-Patching-Technik mit Linux 3.20 im kommenden Frühjahr veröffentlichen. Zuvor soll der Code in Linux-Next aufgenommen werden. Ob dies tatsächlich geschieht, steht noch aus. 
---------------------------------------------
http://www.golem.de/news/linux-kernel-live-patching-soll-im-fruehjahr-2015-bereitstehen-1412-111337.html


*** Patches Not Cure-all for Shellshock ***
---------------------------------------------
Earlier this year, Linux system administrators all over the world had to deal with the Shellshock vulnerability, which could lead to malicious code being run on Linux systems. Servers running various web services were at particular risk. By now, most major distributions have been able to ..
---------------------------------------------
http://blog.trendmicro.com/trendlabs-security-intelligence/patches-not-cure-all-for-shellshock/


Next End-of-Shift report on 2014-12-29