lost+found: Was von der Woche übrig blieb
Heute unter anderem mit: Dem Linux der Syrian Electronic Army, einer Lücke im Contact Form Generator, einem Tool zum Entschlüsseln von Snapchat-Fotos, einem automatischen Safe-Cracker und einer Lücke in vBulletin 4.
- Fabian A. Scherschel
Die Syrian Electronic Army will ihre eigene Linux-Distribution herausbringen. Ob man sich ein Betriebssystem installieren will, das von einer berüchtigten Hackegruppe stammt, ist allerdings mehr als fraglich. Besonders wenn diese Gruppe ausgerechnet dem Assad-Regime nahe stehen soll.
Da will man doch vielleicht lieber zu einer bekannten Größe wie Kali greifen. Oder etwa BackBox Linux – Version 4 dieser Distro ist übrigens gerade erschienen.
Wer die Kontaktformular-Vorlage Contact Form Generator nutzt, sollte unbedingt die Rechte für die entsprechenden Ordner auf seinem Webserver überprüfen. Es stellt sich nämlich heraus, dass der Kontaktformular-Code das Hochladen von Dateien erlaubt und das hochgeladene Material nicht prüft (PDF). Das erlaubt unter Umständen das Ausführen von Schadcode auf dem Server.
Für die Firewall-Distribution IPFire gibt es jetzt ein Update, welches die Shellshock-Lücke stopft.
Als wenn The Snappening nicht schlimm genug gewesen wäre: Mit dem Python-Skript snapchat-decrypt kann man von Snapchat gespeicherte Bilder von seinem Android-Handy ziehen und entschlüsseln. Allerdings braucht man ein Smartphone mit Root-Rechten.
Hacker aus Melbourne haben aus Material für 150 US-Dollar einen automatischen Safe-Cracker gebaut, der Kombinationsschlösser der Sicherheitsstufe Group 2 knacken kann. Diese werden unter anderem in Geldautomaten und Waffenschränken eingesetzt. Das Gerät kommt hauptsächlich aus dem 3D-Drucker und setzt einen Arduino zur Steuerung ein.
Das Open Web Application Security Project (OWASP) hat Version 1.0 "Lionheart" seines Offensive Web Testing Frameworks (OWTF) veröffentlicht. OWTF soll es leichter machen, Sicherheitslücken in Web-Apps zu finden und zu schließen.
Eine XMLRPC-Lücke in der nicht mehr unterstützten Version 4.2.0 der Forensoftware vBulletin erlaubt das Einschleusen von Schadcode in die SQL-Datenbank eines Forums (CVE-2014-2022). Dazu muss der Angreifer allerdings angemeldet sein und den API-Key des Forums kennen.
Die NSA hat eine Geheimhaltungsstufe, die noch geheimer ist als "Top Secret". Informationen, die als "Exceptionally Compartmented Information" (ECI) eingestuft werden, bekommen nur eine Handvoll von hochrangigen Offiziellen zu Gesicht. (fab)
