​​​​​Passwort-Diebstahl: Neben GitHub-OAuth-Token auch Passwörter bei Heroku geklaut
#Datenklau #Datenschutz #GitHub #Heroku #Passwörter #Sicherheitslücke #TravisCI

Nachdem Heroku zum Passwortändern aufgerufen hat, erklärt Salesforce nun den Grund: Gehashte und gesalzene User-Passwörter wurden aus einer Datenbank entwendet․

​​​​​Eclipse Foundation erklärt Security zur Chefsache
#Eclipse #Log4j #OpenSource #Sicherheit #Sicherheitslücke #Softwareentwicklung #SupplyChain

Mit Blick auf die wachsenden Gefahren für die Software Supply Chain ernennt die Stiftung Mikaël Barbero zum Head of Security․

​​​​​heise+ | IT-Security: APIs sicher entwickeln
#API #MobileDevelopment #OWASP #SecurityDienste #Sicherheit #Sicherheitslücke #Softwareentwicklung #Webdienste #API

Um APIs gegen Schwachstellen zu schützen, orientieren sich Sicherheitsverantwortliche an den OWASP API Security Top 10․ Eine umfassende Erklärung․

​​​​​heise+ | IT-Security: So spüren Sie Schwachstellen in APIs auf
#API #MobileDevelopment #OWASP #Risikomanagement #SecurityDienste #Sicherheit #Sicherheitslücke #Softwareentwicklung #Softwarequalität #API

Injections und Fehlkonfigurationen machen APIs angreifbar․ Spezialisierte Werkzeuge helfen, die Schwachstellen zu finden․

​​​​​Sicherheitslücken in node․js abgedichtet
#LinuxundOpenSource #Sicherheit #Sicherheitslücke #Update #nodejs

Neue Versionen der node․js-Laufzeitumgebung beheben sicherheitskritische Fehler mit hohem Risiko․ Angreifer könnten Opfern dadurch Schadcode unterjubeln․

​​​​​Die Cybersicherheitsverwahrlosung Deutschlands – Kommentar zur neuen Agenda
#Bundesregierung #Cybersecurity #Hackback #NancyFaeser #Sicherheit #Sicherheitslücke

Die Cybersicherheitsagenda setzt die alte Seehofer-Politik nahtlos fort․ Ein kritischer Blick auf Hackbacks, Schwachstellenmanagement und praxisferne Politik․

​​​​​Softwareerstellung: Einige Jenkins-Plug-ins werden abgesichert, andere nicht
#Jenkins #Patchday #PlugIns #Sicherheit #Sicherheitslücke #Updates

Entwicklungsumgebungen mit bestimmten Plug-ins für Jenkins sind verwundbar․ Bislang sind noch nicht für alle Sicherheitspatches erschienen․

​​​​​Softwareentwicklung: Erneut kritische Sicherheitslücke in GitLab geschlossen
#Git #GitHub #Patchday #Sicherheit #Sicherheitslücke #Softwareentwicklung #Updates

Angreifer könnten durch Schwachstellen in GitLab etwa trotz Zwei-Faktor-Authentifizierung Passwörter erraten oder Schadcode ausführen․

​​​​​Kritische Lücke in zlib-Bibliothek ermöglicht Codeschmuggel
#LinuxundOpenSource #LinuxDistribution #Patchday #Sicherheit #Sicherheitslücke #zlib

In der weit verbreiteten Kompressionsbibliothek zlib könnten Angreifer unter Umständen Schadcode einschleusen und ausführen․ Erste Patches sind verfügbar․

​​​​​Programmiersprache Go bekommt integriertes Schwachstellenmanagement
#GoogleGo #Programmiersprachen #Sicherheit #Sicherheitslücke

Das Securityteam pflegt die Go Vulnerability Database, und ein neues Tool zeigt die für Projekte relevanten Schwachstellen an․

​​​​​heise+ | Security: Angriffe auf die Softwarelieferkette erkennen und abwehren
#Cybercrime #Hacking #OWASP #SCM #SecurityDienste #Sicherheit #Sicherheitslücke #Softwareentwicklung #Softwarelieferketten #Softwarequalität

Ein Überblick über Supply-Chain-Angriffe hilft, das Risiko abzuschätzen und Gegenmaßnahmen zu planen․ Wir klären, wie Angreifer im Detail vorgehen․

​​​​​Python: 15 Jahre alte Schwachstelle betrifft potenziell 350․000 Projekte
#DirectoryTraversing #Programmiersprachen #Python #Sicherheitslücke

Das Issue zu der Directory-Traversal-Schwachstelle in dem Modul tarfile existiert seit 2007․ Geschlossen wurde es mit einem Hinweis in der Dokumentation․

​​​​​Schwachstelle in JavaScript-Sandbox vm2 erlaubt Ausbruch aus der Isolation
#JavaScript #RemoteCodeExecution #Sandbox #Sicherheitslücke #V8 #Virtualisierung #nodejs #npm

Wer eine Version kleiner 3․9․11 von vm2 verwendet, sollte die Sandbox aktualisieren, da eine Schwachstelle das Ausführen von Remote-Code auf dem Host erlaubt․