[CERT-daily] Tageszusammenfassung - 04.02.2019

Mon Feb 4 18:13:45 CET 2019

=====================
= End-of-Day report =
=====================

Timeframe:   Freitag 01-02-2019 18:00 − Montag 04-02-2019 18:00
Handler:     Dimitri Robl
Co-Handler:  Robert Waldner

=====================
=       News        =
=====================

∗∗∗ Gute Passwörter erzeugen und sicher verwenden ∗∗∗
---------------------------------------------
Momentan ist das Ändern von Passwörtern wieder in aller Munde. Aber wie erzeugt man gute Passwörter und wie verwahrt man sie sicher?
---------------------------------------------
http://heise.de/-4295052


∗∗∗ Introducing Zombie POODLE and GOLDENDOODLE ∗∗∗
---------------------------------------------
I’m excited to announce that I will be presenting at this year’s Black Hat Asia about my research into detecting and exploiting CBC padding oracles! Zombie POODLE and GOLDENDOODLE are the names I’ve given to the vulnerabilities I’ll be discussing. Similar to ROBOT, DROWN and many other vulnerabilities affecting HTTPS, these issues stem from continued use of cryptographic modes which should have been long ago deprecated and yet are inexplicably still supported in TLSv1.2. In this case, the troublesome feature is that TLSv1.2 supports CBC mode ciphersuites.
---------------------------------------------
https://www.tripwire.com/state-of-security/vulnerability-management/zombie-poodle-goldendoodle/


∗∗∗ Datendiebe versenden gefälschte upc.at-Mail ∗∗∗
---------------------------------------------
Kriminelle versenden eine gefälschte upc.at-Nachricht. Darin behaupten sie, dass das E-Mailpostfach von Empfänger/innen voll sei. Damit Kund/innen weiterhin Nachrichten empfangen können, sollen sie ihre Zugangsdaten auf einer gefälschten upc.at-Website nennen. Folgen sie der Anweisung, werden sie Opfer eines Datendiebstahls. Kriminelle erlangen Zugriff auf ihr E-Mailkonto und können es für Verbrechen nutzen.
---------------------------------------------
https://www.watchlist-internet.at/news/datendiebe-versenden-gefaelschte-upcat-mail/


∗∗∗ Security researchers discover new Linux backdoor named SpeakUp ∗∗∗
---------------------------------------------
Named SpeakUp, this malware is currently distributed to Linux servers mainly located in China. The hackers behind this recent wave of attacks are using an exploit for the ThinkPHP framework to infect servers with this new malware strain.
---------------------------------------------
https://www.zdnet.com/article/security-researchers-discover-new-linux-backdoor-named-speakup/#ftag=RSSbaffb68


=====================
=  Vulnerabilities  =
=====================

∗∗∗ Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar ∗∗∗
---------------------------------------------
Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.
---------------------------------------------
https://www.golem.de/news/sicherheit-libreoffice-schliesst-luecke-openoffice-bleibt-verwundbar-1902-139163-rss.html


∗∗∗ devolo dLAN 550 duo+ Starter Kit Remote Code Execution ∗∗∗
---------------------------------------------
The devolo firmware has what seems to be a hidden services which can be enabled by authenticated attacker via the the htmlmgr CGI script. This allows the attacker to start services that are deprecated or discontinued and achieve remote arbitrary code execution with root privileges.
---------------------------------------------
https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5508.php


∗∗∗ Sicherheitsforscher: Kritische Lücke in macOS erlaubt Auslesen von Passwörtern ∗∗∗
---------------------------------------------
Erneut ist eine schwere Schwachstelle bei dem in macOS integrierten Schlüsselbund bekanntgeworden: Manipulierte Software sei dadurch in der Lage, sämtliche Zugangsdaten des Nutzers aus der lokalen Keychain auszulesen – mitsamt der Passwörter im Klartext, wie der Sicherheitsforscher Linus Henze mitteilte. 
---------------------------------------------
http://heise.de/-4297437


∗∗∗ Security updates for Monday ∗∗∗
---------------------------------------------
Security updates have been issued by CentOS (bind, firefox, GNOME, kernel, systemd, and thunderbird), Debian (debian-security-support, drupal7, libreoffice, libvncserver, phpmyadmin, and rssh), Fedora (binutils and firefox), Mageia (firefox and netatalk), openSUSE (avahi and python-paramiko), Red Hat (Red Hat Gluster Storage Web Administration), Slackware (mariadb), and SUSE (java-11-openjdk, kernel, and python).
---------------------------------------------
https://lwn.net/Articles/778407/


∗∗∗ D-LINK Router DIR-823G: Mehrere Schwachstellen ermöglichen Ausführen von beliebigem Programmcode mit Administratorrechten ∗∗∗
---------------------------------------------
Router der Firma D-Link enthalten eine Firewall und in der Regel eine WLAN-Schnittstelle. Die Geräte sind hauptsächlich für private Anwender und Kleinunternehmen konzipiert.
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in D-LINK Router DIR-823G ausnutzen, um beliebigen Programmcode mit Administratorrechten auszuführen.
---------------------------------------------
http://www.cert-bund.de/advisoryshort/CB-K19-0104


∗∗∗ Over 485,000 Ubiquiti devices vulnerable to new attack ∗∗∗
---------------------------------------------
Ubiquiti Networks is working on a fix for a newly discovered security issue affecting its devices that attackers have been exploiting since July last year.
Attackers are sending small packets of 56 bytes to port 10,001 on Ubiquiti devices, which are reflecting and relaying the packets to a target's IP address amplified to a size of 206 bytes (amplification factor of 3.67).
---------------------------------------------
https://www.zdnet.com/article/over-485000-ubiquiti-devices-vulnerable-to-new-attack/


∗∗∗ IBM Security Bulletin: IBM API Connect Developer Portal is affected by a remote code execution vulnerability in Drupal (CVE-2019-6339) ∗∗∗
---------------------------------------------
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-api-connect-developer-portal-is-affected-by-a-remote-code-execution-vulnerability-in-drupal-cve-2019-6339/


∗∗∗ IBM Security Bulletin: IBM API Connect Developer Portal is affected by a vulnerability in Oracle MySQL (CVE-2018-3251) ∗∗∗
---------------------------------------------
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-api-connect-developer-portal-is-affected-by-a-vulnerability-in-oracle-mysql-cve-2018-3251/


∗∗∗ IBM Security Bulletin: API Connect V2018 is impacted by access token leak (CVE-2019-4008) ∗∗∗
---------------------------------------------
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-api-connect-v2018-is-impacted-by-access-token-leak-cve-2019-4008/

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily