CERT-Bund hat eine Sicherheitswarnung zu einer kritischen Schwachstelle (CVE-2023-22515) in Atlassian Confluence veröffentlicht. Über die mit einer CVSS-Bewertung von 10.0 versehenen Schwachstelle können Remote-Angreifer Administrator-Konten erstellen und auf Confluence Instanzen zugreifen. Diese Schwachstelle wird bereits ausgenutzt. Atlassian hat zum 4. Oktober 2023 die Sicherheitswarnung CVE-2023-22515 – Broken Access Control Vulnerability in Confluence Data Center and Server mit weiteren Informationen dazu veröffentlicht. Rapid7 gibt in diesem Blog-Beitrag noch einige Informationen.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Windows 11 modernisiert seinen legendären Run-Dialog News 17. Januar 2026
- Microsoft Excel: KI-Agent revolutioniert Datenanalyse News 17. Januar 2026
- Gigabyte startet mit vier neuen OLED-Gaming-Monitoren in 2026 durch News 17. Januar 2026
- Illinois warnt vor gefälschten SMS der Führerscheinstelle News 17. Januar 2026
- Obsidian Skills: KI lernt die Sprache des Wissens News 17. Januar 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- User007 bei 1.500 Entlassungen in 2026 bei Meta in Reality Labs bekannt geworden
- Mark Heitbrink bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Mark Heitbrink bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- MichaelB bei 1.500 Entlassungen in 2026 bei Meta in Reality Labs bekannt geworden
- Froschkönig bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- R.S. bei AWS startet unter dem Begriff "AWS Digital Sovereignty" die "EU-Cloud"
- Markus bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Tomas Jakobs bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Tomas Jakobs bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Heinz bei Neuauflage des Google Newsgroup-Spam?
- Mark Heitbrink bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Mark Heitbrink bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Mark Heitbrink bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Günter Born bei Diskussion
- Mark Heitbrink bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
Schwachstellen in dem sehr beliebten Programmcode wo jeder reingucken und Fehler selbst finden kann:
curl, CVE-2023-38545 "high" (eigentlich wohl "superdupermegaoverhigh"), schlimmsten ist diese "probably the worst security problem found in curl in a long time" schon seit 27 Jahren offen: https://www.heise.de/news/cURL-Infos-zu-schlimmster-Sicherheitsluecke-seit-Langem-kommen-am-11-Oktober-9326134.html
glibc, CVE-2023-4911 "high" (eigentlich wohl auch eher "hypergigiacrazyhigh"), seit 2 Jahren offen: https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-local-privilege-escalation-in-the-glibcs-ld-so#potential-impact-of-looney-tunables
Das betrifft natürlich das allseits beliebte Betriebssystem was besser sein soll als Windows, weil es ja so transparent ist und jeder die Fehler selber findet! Und tausend Anwendungsprogramme, die auf die entsprechenden Bibliotheken zugreifen oder – noch schlimmer – selbst mitbringen! Freunde, ihr müsst jetzt ganz stark sein, ich reiche euch ein Päckchen Traubenzucker zur Stärkung!
Für beides gibts aktuell noch keine Patches. Kommt erst noch. Ich drücke die Daumen!
Die glibc, das ist unter diesem Linux die zentrale Systembibliothek, ohne die quasi garnichts geht, nicht mal ein simples echo "Hello World" auf der Konsole. Und ohne Curl geht bei Internetzugriffen faktisch auch nichts. Sorry, dass ich hier ein bischen an dem hohen Sockel treten muss, auf dem manch einer der Linux-Helden, die mich hier immer wieder angehen, sitzt! Merkt euch, egal was kommt, letztlich sitzen wir doch alle auf dem selben leckgeschlagenen Schiff, der eine halt nur steuerbord, der andere backbord, und wenn einer zum anderen rübergeht, dann dreht sich das Schiff nur im Kreis.
Das Thema ist bei mir auf dem Radar – kommenden Dienstag kommt die Wahrheit, ob die Strategen aus Redmond das auch berücksichtigen – weiß nur noch nicht, wie zeitnah ich das berücksichtigen kann, da ich ein paar Tage abtauchen will.
Der Linux-Patch für curl kommt am Mittwoch 11.Oktober 2023, also kann er eigentlich noch nicht in den Windows-Updates drin sein, denn die kommen am Dienstag abend 10.Oktober 2023.
curl betrifft auch Windows Server, denn die curl.exe ist im system32-Ordner gespeichert.
c:\windows\system32\curl.exe
Das Loch in curl scheint kein bloßer Pufferüberlauf oder sowas in der Art zu sein, sondern etwas komplizierter, wie der Programmierer des noch kommenden Patches andeutet:
"allow us a few days for more deliberating on the vulnerability, to really think it through, write the advisory, understand it proper. Rinse and repeat."
github[.]com/curl/curl/discussions/12026#discussioncomment-7194592
Die glibc wurde bereits von einigen Linux-Distributionsherstellern gefixt:
www[.]heise[.]de/news/Jetzt-patchen-Exploits-fuer-glibc-Luecke-oeffentlich-verfuegbar-9326518.html
*gähn*
Die billige Ablenkungsmasche wieder. Das ist bei den meisten großen Distris längst gefixt, also wieder mal sinnlose Geiferei, 1ST1.