Zum Inhalt springen
BlogSicherheitLinode Security Digest 5. bis 12. Dezember 2021

Linode Security Digest 5. bis 12. Dezember 2021

Linode Security Digest

Diese Woche sprechen wir über eine kritische Sicherheitslücke in Mozillas Network Security Services, den neuesten Netgear-Sicherheitshinweis, eine Schwachstelle im Texteditor Vim und ein ziemlich neues Tool, mit dem Sie Ihre Python Pakete überprüfen können.

Mozilla NSS RCE (CVE-2021-43527)

Mozillas NSS(Network Security Services) ist eine Reihe von Bibliotheken, die die plattformübergreifende Entwicklung von sicherheitsfähigen Client- und Server-Anwendungen unterstützen. Sie bieten eine umfassende Open-Source-Implementierung vieler Internet-Sicherheitsstandards und werden in mehreren Mozilla-Produkten verwendet.

Am 1. Dezember veröffentlichte RedHat eine Erklärung, in der die Benutzer dieses Pakets gewarnt wurden, dass es für eine Sicherheitslücke bei der Ausführung von Remotecode anfällig ist. Laut der Erklärung hat dies kritische Auswirkungen (CVSS: 8.8) auf die betroffenen Systeme, und es gibt derzeit keine praktikablen Methoden zur Behebung dieser Schwachstelle. RedHat empfiehlt, die betroffenen Pakete so bald wie möglich zu aktualisieren.

Eine Bedrohungsfläche, die sich von zu Hause bis ins Büro erstreckt

Netgear hat kürzlich einen Sicherheitshinweis veröffentlicht, in dem das Unternehmen auf zwei Sicherheitslücken hinweist, die mehrere seiner Produkte betreffen, darunter Router, Modems, WiFi-Mesh-Systeme und WiFi-Extender. Eine der Schwachstellen ermöglicht die Einschleusung von Befehlen nach der Authentifizierung, was zur Offenlegung sensibler Informationen führen kann. Netgear empfiehlt seinen Kunden dringend, die Firmware für die betroffenen Geräte so bald wie möglich zu aktualisieren.

Da viele Mitarbeiter von unterwegs aus arbeiten und sich mit der Infrastruktur ihres Arbeitgebers verbinden, muss sichergestellt werden, dass die Komponenten, die die Kommunikation zwischen den Geräten der Mitarbeiter und den Unternehmensnetzwerken ermöglichen, zuverlässig und sicher sind. Die Kompromittierung eines schwachen Glieds in dieser Kette kann es Angreifern ermöglichen, die Bemühungen der Unternehmen um die Sicherheit ihrer Systeme zunichte zu machen. Angreifer könnten Schwachstellen in den Netzwerkgeräten der Mitarbeiter ausnutzen und letztlich zu Unterbrechungen der Dienste, Datenverlusten und sogar Sicherheitsverletzungen führen.

Pufferüberlauf im Vim-Editor (CVE-2021-4019)

Wie in der Aktualisierung von Fedora beschrieben, ist Vim (VIsual editor iMproved) eine aktualisierte und verbesserte Version des Vi-Editors. Vim ist ein häufig verwendetes Werkzeug, das mit den meisten Linux-Distributionen gebündelt wird. Versionen von Vim vor 8.2.3669 wurden kürzlich als anfällig für einen Pufferüberlauf entdeckt. Wenn diese Schwachstelle ausgenutzt wird, kann sie zum Absturz der Software, zur Veränderung des Speichers oder zur Ausführung von beliebigem Code führen. 

Pip Audit

Pip (pip installiert Pakete) ist das Paketinstallationsprogramm für die Programmiersprache Python . Sie können pip verwenden, um Pakete aus dem Python Package Index (PyPI) und anderen Indizes zu installieren. Andererseits ist pip-audit ein neu entwickeltes Werkzeug zum Scannen von Python Umgebungen auf Pakete mit bekannten Sicherheitslücken. Wir sind der Meinung, dass pip-audit ein großartiges Werkzeug ist, das unsere Kunden verwenden können, um die in ihren Entwicklungsumgebungen verwendeten Pakete im Auge zu behalten und kontinuierlich auf Sicherheitslücken in diesen Paketen zu prüfen, sobald sie entdeckt werden.

Wir freuen uns immer darauf, unser Wissen mit unseren Kunden und Linux-Liebhabern zu teilen. Wenn Sie Vorschläge, Feedback oder Wissen haben, das Sie mit der Community teilen möchten, können Sie unten einen Kommentar hinterlassen.


Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet