20.08.2010
Sicherheit
Adobe Coldfusion gibt Admin-Passwort preis
Autor: Dorothee Chlumsky
Coldfusion, Adobes Software-Paket für Web-Anwendungen, hat eine Sicherheitslücke, die kritischer zu sein scheint als der Hersteller angibt. Im Extremfall kann ein Angreifer das Serversystem komplett kompromittieren. Adobe hatte die Lücke nur als "wichtig" kategorisiert.
Der Sicherheitsexperte Adrian P. weist auf eine Sicherheitslücke in Adobes Web-Anwendung Coldfusion hin, die der Hersteller zu unterschätzen scheint. Adobe selbst stuft die Schwachstelle als "wichtig" ein. Adrian P. argumentiert in einem Blogeintrag, dass diese Einordnung der Gefährlichkeit der Schwachstelle nicht gerecht werde, da sie potenziell viele Webserver betreffe, die in der Gefahr stünden, von Angreifern komplett übernommen zu werden. Die Attacke wird als "Directory Traversal" oder "Arbitrary File Retrieval" bezeichnet. Dabei gelingt es einem Angreifer, ein Skript, das auf dem Server läuft, so zu überlisten, dass es die Inhalte einer Datei anzeigt, der laut Konfiguration für Außenstehende nicht sichtbar sein sollte. Der Angreifer erhält über die Sicherheitslücke in Coldfusion auch Zugang zum Admin-Passwort des Coldfusion-Servers - je nachdem, wie der Server konfiguriert ist, kann dieses auch im Klartext abgelegt sein. Selbst die verschlüsselte Version des Passwortes lässt sich dem Experten zufolge mit einfachen Tools knacken. Im schlimmsten Fall erhält ein Hacker über den Coldfusion-Admin-Account auch Zugang zum darunterliegenden Betriebssystem. Wie der Angriff im Einzelnen funktioniert, beschreibt der Experte im Blog-Eintrag. Auch der Exploit-Code, der die Sicherheitslücke ausnutzbar macht, ist inzwischen im Internet verfügbar.
Adobe hat einen Patch zur Verfügung gestellt, der das Sicherheitsproblem behebt. Wer einen Coldfusion-Server betreibt, sollte das Programm schnellstmöglich aktualisieren.
Übernahme
Mimecast baut Human Risk Management-Plattform mit Kauf von Code42 und Aware aus
Mimecast Limited (Mimecast) übernimmt Code42 und Aware. Code42 bietet Lösungen zum Management von Insider-Bedrohungen und Datenverlusten (Data Loss Protection, DLP). Aware ist eine KI-Sicherheitsplattform für Collaboration Tools.
>>
5G+ Gaming
Telekom führt 5G-Standalone für mobiles Spielen ein
Zusammen mit Also hat die Telekom ein Paket für mobile Gamer geschnürt. Dank der 5G-Standalone-Technologie sollen sie beim Spielen mit dem Smartphone Tempovorteile haben.
>>
Technische Schuld
Gutes vs. Schlechtes Refactoring - wie man die richtige Entscheidung trifft
Refactoring ist ein wesentlicher Bestandteil der Softwareentwicklung, aber nicht jedes Refactoring bringt Verbesserungen mit sich. Ein Artikel erläutert die häufigsten Fehler und wie man sie vermeidet.
>>
KI für Musikempfehlungen
Transformer-Modelle revolutionieren Musikempfehlungssysteme
Eine neue Methode nutzt Transformer-Architekturen zur Verbesserung von Musikempfehlungen, indem sie das Nutzerverhalten in verschiedenen Kontexten besser versteht.
>>