CERT-Bund hat eine Sicherheitswarnung zu einer kritischen Schwachstelle (CVE-2023-22515) in Atlassian Confluence veröffentlicht. Über die mit einer CVSS-Bewertung von 10.0 versehenen Schwachstelle können Remote-Angreifer Administrator-Konten erstellen und auf Confluence Instanzen zugreifen. Diese Schwachstelle wird bereits ausgenutzt. Atlassian hat zum 4. Oktober 2023 die Sicherheitswarnung CVE-2023-22515 – Broken Access Control Vulnerability in Confluence Data Center and Server mit weiteren Informationen dazu veröffentlicht. Rapid7 gibt in diesem Blog-Beitrag noch einige Informationen.
Anzeige
Schwachstellen in dem sehr beliebten Programmcode wo jeder reingucken und Fehler selbst finden kann:
curl, CVE-2023-38545 "high" (eigentlich wohl "superdupermegaoverhigh"), schlimmsten ist diese "probably the worst security problem found in curl in a long time" schon seit 27 Jahren offen: https://www.heise.de/news/cURL-Infos-zu-schlimmster-Sicherheitsluecke-seit-Langem-kommen-am-11-Oktober-9326134.html
glibc, CVE-2023-4911 "high" (eigentlich wohl auch eher "hypergigiacrazyhigh"), seit 2 Jahren offen: https://blog.qualys.com/vulnerabilities-threat-research/2023/10/03/cve-2023-4911-looney-tunables-local-privilege-escalation-in-the-glibcs-ld-so#potential-impact-of-looney-tunables
Das betrifft natürlich das allseits beliebte Betriebssystem was besser sein soll als Windows, weil es ja so transparent ist und jeder die Fehler selber findet! Und tausend Anwendungsprogramme, die auf die entsprechenden Bibliotheken zugreifen oder – noch schlimmer – selbst mitbringen! Freunde, ihr müsst jetzt ganz stark sein, ich reiche euch ein Päckchen Traubenzucker zur Stärkung!
Für beides gibts aktuell noch keine Patches. Kommt erst noch. Ich drücke die Daumen!
Die glibc, das ist unter diesem Linux die zentrale Systembibliothek, ohne die quasi garnichts geht, nicht mal ein simples echo "Hello World" auf der Konsole. Und ohne Curl geht bei Internetzugriffen faktisch auch nichts. Sorry, dass ich hier ein bischen an dem hohen Sockel treten muss, auf dem manch einer der Linux-Helden, die mich hier immer wieder angehen, sitzt! Merkt euch, egal was kommt, letztlich sitzen wir doch alle auf dem selben leckgeschlagenen Schiff, der eine halt nur steuerbord, der andere backbord, und wenn einer zum anderen rübergeht, dann dreht sich das Schiff nur im Kreis.
Das Thema ist bei mir auf dem Radar – kommenden Dienstag kommt die Wahrheit, ob die Strategen aus Redmond das auch berücksichtigen – weiß nur noch nicht, wie zeitnah ich das berücksichtigen kann, da ich ein paar Tage abtauchen will.
Der Linux-Patch für curl kommt am Mittwoch 11.Oktober 2023, also kann er eigentlich noch nicht in den Windows-Updates drin sein, denn die kommen am Dienstag abend 10.Oktober 2023.
curl betrifft auch Windows Server, denn die curl.exe ist im system32-Ordner gespeichert.
c:\windows\system32\curl.exe
Das Loch in curl scheint kein bloßer Pufferüberlauf oder sowas in der Art zu sein, sondern etwas komplizierter, wie der Programmierer des noch kommenden Patches andeutet:
"allow us a few days for more deliberating on the vulnerability, to really think it through, write the advisory, understand it proper. Rinse and repeat."
github[.]com/curl/curl/discussions/12026#discussioncomment-7194592
Die glibc wurde bereits von einigen Linux-Distributionsherstellern gefixt:
www[.]heise[.]de/news/Jetzt-patchen-Exploits-fuer-glibc-Luecke-oeffentlich-verfuegbar-9326518.html
*gähn*
Die billige Ablenkungsmasche wieder. Das ist bei den meisten großen Distris längst gefixt, also wieder mal sinnlose Geiferei, 1ST1.