Comretix Blog

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor Angriffen auf Sicherheitslücken in Craft CMS und in Palo Alto Networks Firewall-Betriebssystem PAN-OS. Für die attackierten Schwachstellen stehen Updates bereit, die IT-Verantwortliche spätestens jetzt installieren sollten.

Anzeige

In der CISA-Warnung nennt die Behörde etwa eine vor einer Woche gemeldete und dort mit Software-Aktualisierungen geschlossene Lücke in PAN-OS, auf die Cyberattacken beobachtet wurden. Es handelt sich um eine Umgehung der Authentifizierung im Management-Web-Interface der Firewalls. Zwar ermöglicht die Lücke kein Einschleusen von Schadcode, aber Angreifer mit Zugriff auf das Interface können ohne Anmeldung darauf zugreifen und bestimmte PHP-Skripte aufrufen (CVE-2025-0108, CVSS 8.8, Risiko "hoch"). Bereits vergangene Woche war Exploit-Code verfügbar, den nutzen bösartige Akteure nun inzwischen offenbar im Internet.

Aktualisierungen für die betroffenen Betriebssystemversionen sind ebenfalls seit einer Woche verfügbar: PAN-OS 10.1.14-h9, 10.2.13-h3, 11.1.6-h1 und 11.2.4-h4 und jeweils neuere Fassungen schließen die Lücken.

Zudem hat die CISA Kenntnis von Angriffen auf Schwachstellen im Content-Management-System Craft. Die attackierte Schwachstelle ermöglicht Angreifern aus dem Netz das Einschleusen und Ausführen von Schadcode. Sie betrifft Craft 4- und 5-Installationen, bei denen der Security-Key kompromittiert wurde (CVE-2025-23209, CVSS 8.1, hoch). Diesen Key sollten Admins unbedingt geheim halten, erörtert ein Absatz aus der Anleitung zur Absicherung von Craft. Die Schwachstellenbeschreibung nennt Craft 5.5.8 und 4.13.8 und neuere Versionen als Fehlerkorrektur.

Durch die mediale Omnipräsenz von künstlicher Intelligenz ist der Druck auf die Softwarebranche gewachsen, Produkte mit KI-Elementen anzubieten. Entwicklungsteams stehen vor der Herausforderung, ihre Produkte um KI-Komponenten zu erweitern und dabei sowohl ihr Produkt als auch die Endnutzer vor Angriffen zu schützen. Während bereits reguläre Maßnahmen zur Erhöhung der IT-Sicherheit für viele Unternehmen eine Hürde darstellen, so ist das bei Software mit KI nochmals erschwert, da KI-Expertinnen und -Experten erst langsam anfangen, Sicherheitsfragen systematisch zu bearbeiten und ihre Erkenntnisse zu verbreiten.

Anzeige

In der Entwicklungsbranche mit ihren häufig agilen Prozessen hinkt oft die IT-Sicherheit der Feature-Entwicklung hinterher. OWASP, NIST AI RMF, Google CoSAI und andere versuchen, das zu ändern, die Umsetzung ist jedoch insbesondere für kleine und mittelständische Unternehmen eine Herausforderung. Sogar größeren Konzernen fällt es schwer, ihren Kunden klarzumachen, dass ein frühzeitiges und umfangreiches Investment in sichere KI langfristig einen Wettbewerbsvorteil darstellt. Dabei haben Konzerne eher die Möglichkeit, Entwicklerinnen und Entwickler für die Weiterbildung abzustellen oder externes Expertenwissen einzukaufen.

Umgekehrt fassen viele Kunden ihre Forderung nach intelligentem Verhalten als einfachen Feature Request auf, da KI bequem per API von externen Betreibern eingebunden werden kann. Aber nur weil eine API einfach zu benutzen ist, heißt das nicht, dass das Endprodukt damit automatisch sicher ist.

Der EU AI Act hilft Sicherheitsverantwortlichen bei der Risikobewertung innerhalb der EU. Er geht auf die Problematik multimodaler KI-Modelle ein, wobei er speziell das Thema Datenfusion und die damit verbundenen Datenschutzprobleme regelt. Beratern liefert er auch ein Motiv, mit dem sie Kunden davon überzeugen können, ein KI-Projekt sorgsam zu planen: Denn er gilt für alle Anbieter von KI-Systemen auf dem europäischen Markt und sieht Strafen bis zu vierzig Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes vor. Ob und in welchem Umfang das jeweilige System unter den EU AI Act fällt, lässt sich online prüfen. Dieses Tool gibt auch Hinweise auf besondere Anforderungen, wie eine Pflicht zur maschinenlesbaren Kennzeichnung für KI-generierte Ergebnisse.

Auf der Cisco Live EMEA in Amsterdam präsentierte Cisco eine Reihe neuer Sicherheits- und Netzwerkprodukte, die Unternehmen dabei unterstützen sollen, ihre KI-Strategien sicher und effizient umzusetzen. Dazu gehört unter anderem Cisco AI Defense, ein Dienst zur Bewältigung der größten Herausforderungen im Umgang mit KI und großen Sprachmodellen (LLMs).

Anzeige

Bedrohungen wie die unkontrollierte Nutzung generativer KI-Anwendungen (sogenannte Shadow AI), Manipulation von Modellen durch Prompt-Injection oder Angriffe auf Laufzeitumgebungen stellen ernsthafte Risiken dar. Cisco AI Defense soll diese Gefahren minimieren und Unternehmen eine sichere Entwicklung, Bereitstellung und den Betrieb von KI-Anwendungen ermöglichen.

Ciscos Strategie setzt auf mehrere Schutzmechanismen, die sich in vier zentralen Komponenten zusammenfassen lassen: Der Zugriff auf KI-Anwendungen kann durch Richtliniendurchsetzung reguliert werden, um unbefugte Nutzung zu verhindern. Gleichzeitig soll eine umfassende Sichtbarkeit der genutzten KI-Cloud-Anwendungen für Transparenz hinsichtlich potenzieller Risiken und Bedrohungen sorgen. Durch die kontinuierliche Analyse von KI-Modellen will Cisco Sicherheitslücken und unerwartetes Verhalten erkennen. Und ein Echtzeitschutz soll Angriffe wie Prompt-Injection oder Denial-of-Service-Attacken verhindern. Cisco Talos, das hauseigene Threat-Intelligence-Netzwerk, dient dabei als Datenquelle zur Erkennung eben solcher Angriffe.

Cisco AI Defense ist des Weiteren in die umfassendere Cisco Security Cloud integriert und nutzt Hypershield als zentrales Sicherheitssystem für KI-Workloads. Hypershield kombiniert aktuelle Netzwerksicherheitsansätze mit KI-gestützter Bedrohungserkennung und setzt auf eine verteilte Sicherheitsarchitektur. Die Idee: Sicherheit muss direkt dort greifen, wo die Anwendungen laufen – also im Netzwerk selbst. Hypershield fungiert als "Enforcement Layer" für AI Defense und erlaubt die Durchsetzung von Sicherheitsrichtlinien. Die Netzwerkperformance soll davon nicht beeinträchtigt werden.

Was, wenn die falschen Völker die Signale nicht nur hören, sondern mitverfolgen? Seit dem Beginn des russischen Großangriffs auf die Ukraine vor knapp drei Jahren gehört das Land zu den Intensivnutzern der Signal-App für sichere und verschlüsselte Kommunikation. Dass russische Nachrichtendienste und ihre Helfer großen Aufwand tätigen, um Ziele auszuspionieren, überrascht nicht – das konkrete Wie liefert aber wichtige Hinweise.

Anzeige

Googles Threat Intelligence Group warnt nun vor Attacken per manipulierten Einladungen zu Gruppenunterhaltungen. Über die wird ein Gerät des Angreifers mit dem Account des Angegriffenen verknüpft – für die Nutzer unbemerkt. Dazu reichen wenige Zeilen Javascript – und die Kommunikation des Angegriffenen wird für Dritte nachvollziehbar. Dieser Weg soll mit den aktuellen Versionen von Signal bereits versperrt sein. Dennoch empfiehlt Google, die "gekoppelte Geräte"-Liste regelmäßig auf nicht autorisierte Geräte zu prüfen.

Die Google-Sicherheitsforscher warnen zudem vor weiteren Varianten der Angriffe auf die Messenger-App. So würden mit QR-Code-Phishing-Attacken in der Ukraine gezielt Nutzer angegriffen. Als weiteres Sicherheitsrisiko werden erbeutete Geräte beschrieben, die bei Kampfhandlungen in die Hände der Angreifer geraten sind und für weitere Angriffe auf ukrainische Nutzer oder softwarebasierte Infrastrukturen benutzt werden.

Auf Seiten der Ukraine spielt "Software Defined Defence" eine zentrale Rolle: durch schnellen Austausch von Informationen über spezifische Infrastrukturen kann über den effizienten Einsatz von Ressourcen nahezu in Echtzeit entschieden werden. Setzten auch in der Ukraine zu Beginn der russischen Invasion 2022 viele Soldaten und Bürger noch auf die Telegram-App, verlagerte sich die sicherheitsrelevante Nutzung später weitgehend zu Signal.

Es gab Attacken auf mit Microsofts Software-as-a-Service-Plattform Power Pages erstellte Internetseiten. Außerdem war die Bingsuche verwundbar.

Anzeige

In beiden Fällen müssen Admins keine Sicherheitsupdates installieren, da Microsoft angibt, die beiden Onlineservices selbst abgesichert zu haben.

In einer Warnmeldung zu Power Pages schreiben sie, dass Angreifer die Authentifizierung umgehen und so unbefugt auf Websites zugreifen konnten (CVE-2025-24989 "hoch"). Das sei nun nicht mehr möglich. Microsoft gibt an, von Attacken betroffene Kunden mit Handlungsanweisungen kontaktiert zu haben. In welchem Umfang die Attacken abliefen, ist derzeit nicht bekannt.

Über Bing hätten Angreifer aufgrund von einer fehlenden Authentifizierung im Kontext einer nicht näher beschriebenen kritischen Funktion via Netzwerkzugriff Schadcode ausführen können (CVE-2025-21355 "hoch"). An dieser Stelle gibt es keine Hinweise auf Attacken.

Um Laufwerksabbilder im ISO- oder IMG-Format auf SD-Karte oder USB-Stick zu verfrachten, kann man im Terminal von Unix-artigen Betriebssystemen etwa den Befehl dd bemühen. Oder man wählt den bequemen Weg über Programme mit einfacher Benutzeroberfläche, die das mit wenigen Mausklicks erledigen. balenaEtcher ist solch ein Programm, populär und oft genutzt – jetzt warnt aber das Tails-Projekt, das eine anonymisierende Linux-Distribution entwickelt, vor dem Einsatz dieser Software.

Anzeige

Ein News-Beitrag auf der Seite des Tails-Projekts erklärt die Gründe für diese Entscheidung. Demnach habe Tails seit 2019 balenaEtcher empfohlen, um Tails von macOS und Windows aus auf einen USB-Stick zu installieren. Ausschlaggebend war die Einfachheit, mit der das Programm zu nutzen ist, und es unterstützte auch gleich Macs. Kurz danach fing balenaEtcher an, Werbung anzuzeigen. Die Tails-Entwickler mochten das zwar nicht, sahen initial jedoch kein größeres Problem für die Privatsphäre darin – und hatten schlicht auch keine bessere Alternative zur Hand.

"Im Jahr 2024 änderte sich die Situation jedoch: balenaEtcher begann, den Dateinamen des Images und das Modell des USB-Sticks mit der Firma Balena und möglicherweise mit Dritten zu teilen", schreiben die Tails-Maintainer. "Wir haben zwar noch von keinen Angriffen auf Tails-Benutzer erfahren oder gehört, die auf diese Änderung zurückzuführen sind. Aber wir glauben, dass sie ein Potenzial für Missbrauch darstellt. Um dieses Risiko gänzlich auszuschließen, haben wir uns erneut nach Alternativen umgesehen."

Sieben ISO-Image-Tools kamen in die nähere Betrachtung, am Ende machte Rufus das Rennen. Vor Jahren hatte das Team das Tool bereits getestet, empfand es aber deutlich schwerer zu nutzen. Zudem änderte es das Tails-Image auf nicht näher genannte Art und Weise, die die Tails-Maintainer jedoch als "riskant" einstuften. Jedoch habe die Firma hinter Rufus, Akeo Consulting, inzwischen das Werkzeug "wirklich in der Nutzbarkeit und Verlässlichkeit verbessert". In den Anleitungen für macOS hat Tails balenaEtcher noch nicht ersetzt: einerseits läuft Rufus nicht darunter, andererseits läuft Tails nicht auf Apple Silicon – Leute, die Tails von macOS aus installieren, repräsentierten zudem weniger als zehn Prozent aller Installationen heutzutage. Für macOS empfehlen sie jedoch die Nutzung von dd auf der Kommandozeile oder den Raspberry Pi Imager.

Citrix hat mehrere Sicherheitslücken in Netscaler Agent, Netscaler Console (zuvor als Netscaler ADM bekannt) und im Secure Access Client für macOS entdeckt. Angreifer können durch die Schwachstellen ihre Rechte in verwundbaren Systemen ausweiten. Software-Updates zum Stopfen der Lücken stehen bereit.

Anzeige

In einer Sicherheitsmitteilung warnt Citrix vor den Schwachstellen in Netscaler Agent und Netscaler Console. Details nennt der Hersteller dort nicht, sondern lediglich, dass die Lücke eine "authentifizierte Rechteausweitung" in den beiden Produkten ist. Sie ist demnach vom Typ "unzureichende Rechteverwaltung" (CVE-2024-12284, CVSS 8.8, Risiko "hoch"). Unklar bleibt, wie Angreifer sie ausnutzen und wie IT-Verantwortliche Angriffe erkennen können.

Betroffen sind Netscaler Agent und Netscaler Console 13.1 und 14.1. Die Updates auf Version 13.1-56.18 respektive 14.1-38.53 bügeln die sicherheitsrelevanten Fehler aus. Citrix merkt an, dass ausschließlich von Kunden selbst verwaltete Installationen betroffen sind, die Netscaler Console und Netscaler Console Agents verteilt haben. Von Citrix verwaltete Installationen seien bereits versorgt, Kunden und Kundinnen müssen hier nicht aktiv werden.

In einer weiteren aktuellen Sicherheitsmitteilung warnt Citrix zudem vor Sicherheitslücken im Secure Access Client für Mac. Beide Schwachstellen beschreibt Citrix als: "Angreifer können die Rechte der Anwendung ergattern, um (begrenzte) Veränderungen vorzunehmen und/oder beliebige Daten zu lesen." Einmal geht das auf einen "fehlerhaften Schutzmechanismus" zurück (CVE-2025-1222, CVSS 5.9, mittel), die andere Lücke hingegen auf ein "unkontrolliertes Suchpfad-Element" (CVE-2025-1223, CVSS 5.9, mittel).

In den Kameras aus der Produktreihe Unifi Protect sowie der zugehörigen Verwaltungsoberfläche klaffen kritische Sicherheitslücken. Angreifer können mit ihrer Hilfe Einstellungen auf den Geräten ändern und sogar eigene Kommandos ausführen.

Anzeige

Insgesamt fünf Sicherheitslücken veröffentlichte Unifi-Hersteller Ubiquiti in einem Sicherheitshinweis:

Die Sicherheitslücken betreffen alle Versionen, einschließlich 4.74.88 der Unifi-Protect-Cameras und die Unifi Protect Application in Version 5.2.46 oder früher.

Admins sollten auf die fehlerbereinigten Versionen wechseln. Das ist bei Unifi Protect Application Version 5.2.49 oder neuer, für die Kameras ist Version 4.74.106 zumindest um die vorgenannten Fehler ärmer. Zuletzt hatte der Hersteller im Oktober 2024 schwere Sicherheitslücken in einem seiner Produkte zu beklagen.

Um möglichen Angriffen vorzubeugen, sollten Admins ihre Moodle-Instanzen schnellstmöglich auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Schwachstellen ansetzen und Systeme im schlimmsten Fall kompromittieren.

Anzeige

Wie aus dem Sicherheitsbereich der Moodle-Website hervorgeht, haben die Entwickler insgesamt zehn Sicherheitslücken geschlossen. Auch wenn eine offizielle Einstufung nach CVSS-Standard offensichtlich noch aussteht, stufen die Entwickler das von vier Lücken (CVE-2025-26525, CVE-2025-26533, CVE-2025-26529, CVE-2025-26530) ausgehende Risiko als "ernst" ein.

Nutzen Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem eigentlich abgeschottete Daten einsehen oder sogar Schadcode ausführen. Die Entwickler geben an, die Sicherheitsprobleme in den folgenden Versionen gelöst zu haben:

Anzeige

Mit Bonus-Apps sichern sich Kunden Rabatte beim Einkauf und können gesammelte Punkte zu Geld machen. Nun haben Cyberkriminelle es auf das Guthaben von Rewe-Kunden abgesehen und nutzen Gutscheinkarten, um es zu Geld zu machen. Rewe schließt eine Sicherheitslücke aus – offenbar ermöglichen schwache Passwörter und Phishing den Punkteklau.

Bonusprogramme für treue Kunden sind ein Muss für Lebensmittelmärkte: Praktisch jede Discounter- und Supermarktkette bietet eine App mit Rabatten und Treuepunkten an oder nimmt am markenübergreifenden Payback-Programm teil. Dessen Stern sank zuletzt, als der Handelskonzern Rewe sich Ende 2024 mit allen Filialen ausklinkte und auf ein eigenes Programm namens Rewe Bonus setzte. Mitglieder von Rewe Bonus sammeln beim Einkauf Punkte und können das so gesammelte Guthaben mit ihrem Einkauf verrechnen – so sparen sie bares Geld. Zudem sieht das Rewe-Bonusprogramm die Möglichkeit vor, sich das Bonusguthaben mit einer zweiten Person, zum Beispiel Partner/in oder Mitbewohner/in, zu teilen. Beide können dann über das volle Guthaben verfügen und nicht nur über den Anteil, den sie selbst eingebracht haben.

Auf der Internetplattform Reddit klagten Mitte Februar 2025 mehrere betrogene Rewe-Kunden über eine stets gleich ablaufende Abzocke. Ihr Rewe-Bonuskonto wurde über die "Gemeinsam sammeln"-Funktion mit dem Konto einer völlig fremden Person verbunden, das gesamte Guthaben in einer Rewe-Filiale ausgezahlt und etwa zum Kauf einer Paysafecard verwendet. Derlei Karten sind nicht zurückverfolgbar und lassen sich leicht auf dem Schwarzmarkt zu Bargeld machen.

Der Punkteklau lief oft innerhalb weniger Minuten ab, sodass die Bestohlenen nicht reagieren konnten. Diese befanden sich auch nicht in der Nähe des Rewe-Markts, in dem die Auszahlung stattfand. Im Zuge unserer Recherchen meldeten sich binnen weniger Tage mehr als ein Dutzend Geschädigte bei der heise-Redaktion; auch die Redaktion des Spiegel stand mit mehreren Opfern in Kontakt. Es handelte sich also nicht um einen Einzelfall.

Anzeige

Mit Bonus-Apps sichern sich Kunden Rabatte beim Einkauf und können gesammelte Punkte zu Geld machen. Nun haben Cyberkriminelle es auf das Guthaben von Rewe-Kunden abgesehen und nutzen Gutscheinkarten, um es zu Geld zu machen. Rewe schließt eine Sicherheitslücke aus – offenbar ermöglichen schwache Passwörter und Phishing den Punkteklau.

Bonusprogramme für treue Kunden sind ein Muss für Lebensmittelmärkte: Praktisch jede Discounter- und Supermarktkette bietet eine App mit Rabatten und Treuepunkten an oder nimmt am markenübergreifenden Payback-Programm teil. Dessen Stern sank zuletzt, als der Handelskonzern Rewe sich Ende 2024 mit allen Filialen ausklinkte und auf ein eigenes Programm namens Rewe Bonus setzte. Mitglieder von Rewe Bonus sammeln beim Einkauf Punkte und können das so gesammelte Guthaben mit ihrem Einkauf verrechnen – so sparen sie bares Geld. Zudem sieht das Rewe-Bonusprogramm die Möglichkeit vor, sich das Bonusguthaben mit einer zweiten Person, zum Beispiel Partner/in oder Mitbewohner/in, zu teilen. Beide können dann über das volle Guthaben verfügen und nicht nur über den Anteil, den sie selbst eingebracht haben.

Auf der Internetplattform Reddit klagten Mitte Februar 2025 mehrere betrogene Rewe-Kunden über eine stets gleich ablaufende Abzocke. Ihr Rewe-Bonuskonto wurde über die "Gemeinsam sammeln"-Funktion mit dem Konto einer völlig fremden Person verbunden, das gesamte Guthaben in einer Rewe-Filiale ausgezahlt und etwa zum Kauf einer Paysafecard verwendet. Derlei Karten sind nicht zurückverfolgbar und lassen sich leicht auf dem Schwarzmarkt zu Bargeld machen.

Der Punkteklau lief oft innerhalb weniger Minuten ab, sodass die Bestohlenen nicht reagieren konnten. Diese befanden sich auch nicht in der Nähe des Rewe-Markts, in dem die Auszahlung stattfand. Im Zuge unserer Recherchen meldeten sich binnen weniger Tage mehr als ein Dutzend Geschädigte bei der heise-Redaktion; auch die Redaktion des Spiegel stand mit mehreren Opfern in Kontakt. Es handelte sich also nicht um einen Einzelfall.

Die Dateiübertragungssoftware OpenSSH ist über zwei Sicherheitslücken attackierbar. Dabei können Angreifer Opfer dazu bringen, sich mit einem von ihnen kontrollierten Server zu verbinden. Auch wenn es derzeit noch keine Berichte zu Attacken gibt, sollten Admins nicht zu lange zögern.

Anzeige

Setzen Angreifer erfolgreich an der ersten Schwachstelle (CVE-2025-26465 "mittel") an, können sie als Man-in-the-Middle in Verbindungen schauen. Der Fehler steckt in der VerifyHostKeyDNS-Option, die aber standardmäßig nicht aktiv ist.

Eine weitere Voraussetzung ist, dass Angreifer die Speicherressourcen von verwundbaren Clients manipulieren können. Attacken sind also nicht ohne Weiteres möglich. Ist das gegeben, kommt es bei der Überprüfung eines Host-Keys zu Fehlern, sodass der Identitätscheck für Server umgangen wird. Opfer verbinden sich dann ohne Warnung mit einem unter der Kontrolle von Angreifern befindlichen Server.

An der zweiten Sicherheitslücke (CVE-2025-26466 "mittel") können Angreifer für DoS-Attacken ansetzen. Ist so ein Angriff erfolgreich, führt das in der Regel zu Abstürzen.

Die Dateiübertragungssoftware OpenSSH ist über zwei Sicherheitslücken attackierbar. Dabei können Angreifer Opfer dazu bringen, sich mit einem von ihnen kontrollierten Server zu verbinden. Auch wenn es derzeit noch keine Berichte zu Attacken gibt, sollten Admins nicht zu lange zögern.

Anzeige

Setzen Angreifer erfolgreich an der ersten Schwachstelle (CVE-2025-26465 "mittel") an, können sie als Man-in-the-Middle in Verbindungen schauen. Der Fehler steckt in der VerifyHostKeyDNS-Option, die aber standardmäßig nicht aktiv ist.

Eine weitere Voraussetzung ist, dass Angreifer die Speicherressourcen von verwundbaren Clients manipulieren können. Attacken sind also nicht ohne Weiteres möglich. Ist das gegeben, kommt es bei der Überprüfung eines Host-Keys zu Fehlern, sodass der Identitätscheck für Server umgangen wird. Opfer verbinden sich dann ohne Warnung mit einem unter der Kontrolle von Angreifern befindlichen Server.

An der zweiten Sicherheitslücke (CVE-2025-26466 "mittel") können Angreifer für DoS-Attacken ansetzen. Ist so ein Angriff erfolgreich, führt das in der Regel zu Abstürzen.

Linus Torvalds würde Code zum Programmieren des Kernels in Rust auch annehmen, wenn der Betreuer des relevanten Teilbereichs von Linux die Aufnahme blockiert. Der Begründer und leitende Entwickler des Linux genannten Kernels hat das indes nicht öffentlich verkündet – und sich auch sonst nicht zur Blockade-Haltung von Christoph Hellwig zu Rust-DMA-Kernel-Schnittstellen zu Wort gemeldet, die seit zwei Wochen für enorm viel Wirbel und Zank in der Linux-Szene sorgt.

Anzeige

Hellwig selbst aber erwähnte kürzlich beiläufig einen privaten Austausch mit Torvalds. Darin habe Letzterer klargestellt, Rust-Code im Zweifel definitiv anzunehmen, wenn sich ein Subsystem-Maintainer der Integration widersetzt ("[…] Linus in private said that he absolutely is going to merge Rust code over a maintainers objection").

Wie in unserer ersten Meldung angedeutet, war ein derartiges Vorgehen erwartet worden – ähnlich wie bei Streitigkeiten in Firmen passiert derlei aber manchmal in kleineren Runden oder Eins-zu-Eins-Gesprächen mit dem Chef. Konkret passiert ist aber bislang noch nichts – daher bleibt abzuwarten, ob Torvalds den Rust-DMA-Code nach weiterer Begutachtung und Feinschliff in den nächsten Monaten direkt annimmt oder ob Hellwig diesen doch selbst durchwinkt.

Hellwig stellt in seiner Mail zudem klar, dass er es gut fände, den Kernel in die Welt sicherer Programmiersprachen zu bringen. Zugleich wiederholt er aber auch seine Furcht vor einer unkontrollierbaren, mehrsprachigen Codebasis. Das hat zu einer Diskussion geführt, wo derzeit erneut über das Für und Wider von Rust und anderer Programmiersprachen-Ansätze zur Verbesserung der Sicherheit debattiert wird.

Linus Torvalds würde Code zum Programmieren des Kernels in Rust auch annehmen, wenn der Betreuer des relevanten Teilbereichs von Linux die Aufnahme blockiert. Der Begründer und leitende Entwickler des Linux genannten Kernels hat das indes nicht öffentlich verkündet – und sich auch sonst nicht zur Blockade-Haltung von Christoph Hellwig zu Rust-DMA-Kernel-Schnittstellen zu Wort gemeldet, die seit zwei Wochen für enorm viel Wirbel und Zank in der Linux-Szene sorgt.

Anzeige

Hellwig selbst aber erwähnte kürzlich beiläufig einen privaten Austausch mit Torvalds. Darin habe Letzterer klargestellt, Rust-Code im Zweifel definitiv anzunehmen, wenn sich ein Subsystem-Maintainer der Integration widersetzt ("[…] Linus in private said that he absolutely is going to merge Rust code over a maintainers objection").

Wie in unserer ersten Meldung angedeutet, war ein derartiges Vorgehen erwartet worden – ähnlich wie bei Streitigkeiten in Firmen passiert derlei aber manchmal in kleineren Runden oder Eins-zu-Eins-Gesprächen mit dem Chef. Konkret passiert ist aber bislang noch nichts – daher bleibt abzuwarten, ob Torvalds den Rust-DMA-Code nach weiterer Begutachtung und Feinschliff in den nächsten Monaten direkt annimmt oder ob Hellwig diesen doch selbst durchwinkt.

Hellwig stellt in seiner Mail zudem klar, dass er es gut fände, den Kernel in die Welt sicherer Programmiersprachen zu bringen. Zugleich wiederholt er aber auch seine Furcht vor einer unkontrollierbaren, mehrsprachigen Codebasis. Das hat zu einer Diskussion geführt, wo derzeit erneut über das Für und Wider von Rust und anderer Programmiersprachen-Ansätze zur Verbesserung der Sicherheit debattiert wird.

Im Universal Boot Manager U-Boot haben IT-Sicherheitsforscher mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern, die Vertrauenskette (Chain of Trust) zu unterlaufen und beliebigen Code einzuschleusen und auszuführen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert. U-Boot kommt insbesondere in Linux-basierten Embedded-Systemen zum Einsatz, etwa in Android-Geräten, aber auch in E-Book-Readern.

Anzeige

In einer Mail an die OSS-Security-Mailingliste listen die Entdecker die Sicherheitslücken auf. Insgesamt sechs Sicherheitslecks wurden aufgespürt. Durch sie können Angreifer mit der Möglichkeit, ext4- oder SquashFS-Dateisystemstrukturen zu verändern, mehrere Probleme in der Speicherverwaltung ausnutzen. "Auf Systemen, die auf einen verifizierten Boot-Prozess setzen, ermöglichen diese Lücken Angreifern, die Chain of Trust zu umgehen und eigenen Code auszuführen", erklären die Entdecker. Eine der Lücken (CVE-2024-57258) ermöglicht das zudem mit anderen Subsystemen als ext4 oder SquashFS.

Die Sicherheitslecks betreffen U-Boot-Bootloader bis einschließlich Version 2024.10. Derzeit steht U-Boot 2025.01-rc1 als neuere Fassung zur Verfügung, die diese Schwachstellen ausbessert.

Die aktualisierten Quellen sind im Projekt-Repository von U-Boot zu finden. Projekte, die auf den U-Boot-Bootloader setzen, dürften in Kürze aktualisierte Bootloader anbieten. Diese sollten Betroffene zeitnah installieren.

Im Universal Boot Manager U-Boot haben IT-Sicherheitsforscher mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern, die Vertrauenskette (Chain of Trust) zu unterlaufen und beliebigen Code einzuschleusen und auszuführen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert. U-Boot kommt insbesondere in Linux-basierten Embedded-Systemen zum Einsatz, etwa in Android-Geräten, aber auch in E-Book-Readern.

Anzeige

In einer Mail an die OSS-Security-Mailingliste listen die Entdecker die Sicherheitslücken auf. Insgesamt sechs Sicherheitslecks wurden aufgespürt. Durch sie können Angreifer mit der Möglichkeit, ext4- oder SquashFS-Dateisystemstrukturen zu verändern, mehrere Probleme in der Speicherverwaltung ausnutzen. "Auf Systemen, die auf einen verifizierten Boot-Prozess setzen, ermöglichen diese Lücken Angreifern, die Chain of Trust zu umgehen und eigenen Code auszuführen", erklären die Entdecker. Eine der Lücken (CVE-2024-57258) ermöglicht das zudem mit anderen Subsystemen als ext4 oder SquashFS.

Die Sicherheitslecks betreffen U-Boot-Bootloader bis einschließlich Version 2024.10. Derzeit steht U-Boot 2025.01-rc1 als neuere Fassung zur Verfügung, die diese Schwachstellen ausbessert.

Die aktualisierten Quellen sind im Projekt-Repository von U-Boot zu finden. Projekte, die auf den U-Boot-Bootloader setzen, dürften in Kürze aktualisierte Bootloader anbieten. Diese sollten Betroffene zeitnah installieren.

In Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Router können Angreifer Sicherheitslücken missbrauchen. Eine Übernahme verwundbarer Geräte ist möglich.

Anzeige

Juniper hat deshalb eine Sicherheitsmitteilung außer der Reihe veröffentlicht. Darin warnt der Hersteller, dass es sich um eine kritische Schwachstelle handelt. Demnach können Angreifer aus dem Netz die Authentifizierung umgehen und administrative Kontrolle über die Geräte übernehmen, da eine Schwachstelle des Typs "Authentifizierungsumgehung auf einem alternativen Pfad oder Kanal" in der Firmware der Geräte besteht (CVE-2025-21589, CVSS 9.8, Risiko "kritisch").

Für die Sicherheitslücke sind Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Managed Router in den Versionen 5.6.7 bis vor 5.6.17, 6.0.8, 6.1 bis vor 6.1.12-lts, 6.2 bis vor 6.2.8-lts sowie 6.3 bis vor 6.3.3-r2 anfällig. Die Fassungen Session Smart Router SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts und SSR-6.3.3-r2 stopfen die Sicherheitslecks.

In von Conductor verwalteten Umgebungen soll das Aktualisieren der Conductor-Knoten ausreichen, die Updates werden dann automatisch an die angeschlossenen Router verteilt. WAN Assurance Managed Router, die mit der Mist Cloud (englisch "Mist" für "Nebel") verbunden sind, sollen ebenfalls automatisch aktualisiert worden sein. Dennoch sollten Admins prüfen, ob die Geräte auf den genannten oder neueren Versionsständen angelangt sind und gegebenenfalls die Aktualisierung nachholen.