​​​​​Cybersecurity: Census II macht sicherheitskritische Abhängigkeiten transparent
#LinuxFoundation #LinuxundOpenSource #Sicherheitslücke #SupplyChain

Die Linux Foundation berichtet, welche der über 1000 Open-Source-Bibliotheken für verbreitete Anwendungen tragend und ein potenzielles Supply-Chain-Risiko sind․

​​​​​heise-Angebot: iX-Workshop: OWASP Top 10 – Webanwendungen effektiv absichern
#OWASP #Sicherheitslücke #Webanwendung

Ein erfahrener Pentester stellt die häufigsten Sicherheitslücken in Webanwendungen vor und erklärt, wie man sich erfolgreich schützt․ 10 Prozent Rabatt bis 5․4․

​​​​​Sicherheitslücke: Git liefert Patch für Windows- und Multi-User-Systeme
#Git #GitHub #Sicherheit #Sicherheitslücke

Das Update Git v2․35․2 soll die von GitHub gemeldete Schwachstelle CVE-2022-24765 beheben․

​​​​​GitHub-Sicherheitslücke: OAuth-Token von Heroku und Travis-CI kompromittiert
#Datenklau #GitHub #Heroku #OAuth #Sicherheitslücke #TravisCI #npm

Unauthorisierte Zugriffe auf die npm-Infrastruktur haben kriminelle Aktivitäten enttarnt․ Betroffenen sind OAuth-Token von Heroku und Travis-CI․

​​​​​GitHub-Update: gestohlene OAuth-Token - Heroku betroffen,Travis-CI-Kunden sicher
#Datenklau #GitHub #Heroku #Salesforce #Sicherheitslücke #TravisCI #Versionskontrolle #npm

GitHub gibt an, alle vom Datenraub Betroffenen gewarnt zu haben․ Travis-CI-Repositorien scheinen sicher zu sein, die Heroku-Funktionen sind stark eingeschränkt․

​​​​​GitHub Security Update: Den OAuth-Token-Dieben auf der Spur
#Datenklau #Git #GitHub #Heroku #Sicherheitslücke #TravisCI #Versionskontrolle

Nachdem an Heroku und Travis CI ausgegebene OAuth-Token zum Zugriff auf private Repositorien genutzt wurden, berichtet GitHub nun über den Ablauf des Angriffs․

​​​​​Lückenlos sicher entwickeln mit DevSecOps
#DevOps #DevSecOps #DevSecOpsTools #Sicherheit #Sicherheitslücke #Softwareentwicklung #Softwarequalität

Für durchgängige Security in der Softwareentwicklung bietet DevSecOps Maßnahmen, jeden Schritt von der Entwicklung bis zum Betrieb abzusichern․

​​​​​Passwort-Diebstahl: Neben GitHub-OAuth-Token auch Passwörter bei Heroku geklaut
#Datenklau #Datenschutz #GitHub #Heroku #Passwörter #Sicherheitslücke #TravisCI

Nachdem Heroku zum Passwortändern aufgerufen hat, erklärt Salesforce nun den Grund: Gehashte und gesalzene User-Passwörter wurden aus einer Datenbank entwendet․

​​​​​Eclipse Foundation erklärt Security zur Chefsache
#Eclipse #Log4j #OpenSource #Sicherheit #Sicherheitslücke #Softwareentwicklung #SupplyChain

Mit Blick auf die wachsenden Gefahren für die Software Supply Chain ernennt die Stiftung Mikaël Barbero zum Head of Security․

​​​​​heise+ | IT-Security: APIs sicher entwickeln
#API #MobileDevelopment #OWASP #SecurityDienste #Sicherheit #Sicherheitslücke #Softwareentwicklung #Webdienste #API

Um APIs gegen Schwachstellen zu schützen, orientieren sich Sicherheitsverantwortliche an den OWASP API Security Top 10․ Eine umfassende Erklärung․

​​​​​heise+ | IT-Security: So spüren Sie Schwachstellen in APIs auf
#API #MobileDevelopment #OWASP #Risikomanagement #SecurityDienste #Sicherheit #Sicherheitslücke #Softwareentwicklung #Softwarequalität #API

Injections und Fehlkonfigurationen machen APIs angreifbar․ Spezialisierte Werkzeuge helfen, die Schwachstellen zu finden․

​​​​​Sicherheitslücken in node․js abgedichtet
#LinuxundOpenSource #Sicherheit #Sicherheitslücke #Update #nodejs

Neue Versionen der node․js-Laufzeitumgebung beheben sicherheitskritische Fehler mit hohem Risiko․ Angreifer könnten Opfern dadurch Schadcode unterjubeln․

​​​​​Die Cybersicherheitsverwahrlosung Deutschlands – Kommentar zur neuen Agenda
#Bundesregierung #Cybersecurity #Hackback #NancyFaeser #Sicherheit #Sicherheitslücke

Die Cybersicherheitsagenda setzt die alte Seehofer-Politik nahtlos fort․ Ein kritischer Blick auf Hackbacks, Schwachstellenmanagement und praxisferne Politik․

​​​​​Softwareerstellung: Einige Jenkins-Plug-ins werden abgesichert, andere nicht
#Jenkins #Patchday #PlugIns #Sicherheit #Sicherheitslücke #Updates

Entwicklungsumgebungen mit bestimmten Plug-ins für Jenkins sind verwundbar․ Bislang sind noch nicht für alle Sicherheitspatches erschienen․

​​​​​Softwareentwicklung: Erneut kritische Sicherheitslücke in GitLab geschlossen
#Git #GitHub #Patchday #Sicherheit #Sicherheitslücke #Softwareentwicklung #Updates

Angreifer könnten durch Schwachstellen in GitLab etwa trotz Zwei-Faktor-Authentifizierung Passwörter erraten oder Schadcode ausführen․

​​​​​Kritische Lücke in zlib-Bibliothek ermöglicht Codeschmuggel
#LinuxundOpenSource #LinuxDistribution #Patchday #Sicherheit #Sicherheitslücke #zlib

In der weit verbreiteten Kompressionsbibliothek zlib könnten Angreifer unter Umständen Schadcode einschleusen und ausführen․ Erste Patches sind verfügbar․

​​​​​Programmiersprache Go bekommt integriertes Schwachstellenmanagement
#GoogleGo #Programmiersprachen #Sicherheit #Sicherheitslücke

Das Securityteam pflegt die Go Vulnerability Database, und ein neues Tool zeigt die für Projekte relevanten Schwachstellen an․

​​​​​heise+ | Security: Angriffe auf die Softwarelieferkette erkennen und abwehren
#Cybercrime #Hacking #OWASP #SCM #SecurityDienste #Sicherheit #Sicherheitslücke #Softwareentwicklung #Softwarelieferketten #Softwarequalität

Ein Überblick über Supply-Chain-Angriffe hilft, das Risiko abzuschätzen und Gegenmaßnahmen zu planen․ Wir klären, wie Angreifer im Detail vorgehen․

​​​​​Python: 15 Jahre alte Schwachstelle betrifft potenziell 350․000 Projekte
#DirectoryTraversing #Programmiersprachen #Python #Sicherheitslücke

Das Issue zu der Directory-Traversal-Schwachstelle in dem Modul tarfile existiert seit 2007․ Geschlossen wurde es mit einem Hinweis in der Dokumentation․

​​​​​Schwachstelle in JavaScript-Sandbox vm2 erlaubt Ausbruch aus der Isolation
#JavaScript #RemoteCodeExecution #Sandbox #Sicherheitslücke #V8 #Virtualisierung #nodejs #npm

Wer eine Version kleiner 3․9․11 von vm2 verwendet, sollte die Sandbox aktualisieren, da eine Schwachstelle das Ausführen von Remote-Code auf dem Host erlaubt․