Alle RHEL-Server in Microsofts Azure-Cloud waren angreifbar

November 28, 2016 - 7:35 pm in OSS

[ad_1]

Ein unsicherer Log-Server in Microsofts Cloud hätte dazu führen können, dass ein Angreifer alle auf Azure laufenden Red-Hat-Enterprise-VMs hätte übernehmen könne.

Auf einen Schlag Root auf allen RHEL-Systemen in der Azure Cloud? Ian Duffy hätte diesen Trick durchziehen können. Der Softwareentwickler hat eine Sicherheitslücke in der Konfiguration von virtuellen Maschinen in Microsofts Cloud-Dienst Azure entdeckt. Diese betraf alle VMs mit Red Hat Enterprise Linux (RHEL) und ist von Microsoft bereits geschlossen worden. Duffy hätte die Lücke missbrauchen können, um bösartige Updates zu verteilen und die VMs zu kapern.

Beim Bau eines Azure-RHEL-Images stellte er fest, dass die Systeme mit einem RPM-Paket vorinstalliert sind, das Informationen über die VMs enthält, über die Microsoft RHEL-Updates an virtuelle Maschinen in der Azure-Cloud verteilt. Über die kam Duffy an einen Log-Server heran, dessen Anmeldung so kaputt war, dass Duffy darauf Zugang erhielt, ohne den richtigen Nutzername und das dazugehörige Passwort zu kennen. In den Logs fand er dann Konfigurationsdateien und ein SSL-Zertifikat für die Update-Server, mit dem er vollen Admin-Zugang erhielt.

Mit Kontrolle über diese Server hätte Duffy ein bösartiges Update erstellen können, das ihm vollen Root-Zugang zu Systemen gegeben hätte, an die es verteilt worden wäre. Da RHEL-Updates in der Azure-Cloud in der Regel über diese Server laufen, hätte Duffy alle virtuellen Maschinen in der Cloud infizieren können, sobald diese sich nach neuen Updates umsehen – bei den meisten VMs wäre das wahrscheinlich automatisch passiert. Anstatt das allerdings zu tun, meldete Duffy die Schwachstelle an Microsoft und die Firma behob sie daraufhin prompt. (fab)

[ad_2]

Read more on: Source

Red Hat Developer Toolset 6 und Red Hat Software Collections 2.3 veröffentlicht

November 28, 2016 - 7:24 pm in Software-Entwicklung

[ad_1] Die beiden sich an RHEL- und Fedora-Entwickler richtenden Softwarepakete wurden auf neuere Versionen von Programmiersprachen, Datenbanken und Entwickler-Tools…

DDoS-Angriff auf österreichisches Außenministerium

November 28, 2016 - 7:20 pm in Security

[ad_1] Ein DDoS-Angriff gegen die Webseite des österreichischen Außenministeriums soll von der Türkei ausgegangen sein. Wien ist ein scharfer Kritiker…

Großstörung im Telekom-Netz dauert an

November 28, 2016 - 1:30 pm in Internet

[ad_1] Seit Sonntagnachmittag gibt es im DSL-Netz der Telekom eine großflächige Störung. Teilweise halfen alternative Name-Server, die Telekom erklärt mittlerweile, bestimmte Routertypen seien betroffen. Offenbar ist es am Sonntag Nachmittag zu einer großflächigen…

c’t uplink 14.2: Sie wurden gehackt!, Surface Studio, neue Macbooks, Ubuntu 16.10

November 28, 2016 - 1:30 pm in OSS

[ad_1] Milliarden Online-Accounts sind in Hackerkreisen und im Netz im Umlauf. Über die Folgen davon sprechen wir in c't uplink. Außerdem: Microsoft und Apple stellen neue Hardware vor und in Ubuntu 16.10 lässt sich jetzt eine neue Bedienoberfläche ausprobieren.…

heise-Angebot: iX-Developer "Altlasten im Griff" jetzt digital erhältlich

November 28, 2016 - 1:20 pm in Software-Entwicklung

[ad_1] Neues anzupacken ist für viele Softwareentwickler zwar verlockend, im Unternehmensalltag herrscht allerdings der Umgang mit Bestandscode vor. Das aktuelle Developer-Sonderheft widmet sich daher der Pflege, Aufarbeitung und dem Ausbau von Legacy-Software.…

Firefox soll offensiver vor Webseiten mit unverschlüsselter Verbindung warnen

November 28, 2016 - 1:18 pm in Security

[ad_1] In einer kommenden Version soll der Webbrowser Nutzer auf HTTP-Webseiten direkt in Formularen warnen. Künftig will Firefox Besucher von Webseiten ohne Transportverschlüsselung (HTTP) noch deutlicher warnen. Die neue Sicherheitswarnung soll direkt…

Open-Source-Projekt für autonome Autos

November 28, 2016 - 7:25 am in OSS

[ad_1] Open-Source-Projekt für autonome Autos Der Mann hinter einem der ersten überzeugenden autonomen Fahrzeuge und frühere Leiter des Google-Projekts dafür hat ein neues Projekt gestartet. Dieses Mal will Sebastian Thrun die Entwicklung mit Open Source…

Cloud in der Praxis: iX Cloud- & OpenStack Tag 2016

November 28, 2016 - 1:20 am in OSS

[ad_1] Beim zweiten iX Cloud- & OpenStack-Tag berichten Experten aus der Praxis über Herausforderungen und Lösungen beim Aufbau und dem Management von Cloud-Infrastrukturen. Unter dem Motto „Quo vadis Linux?“ widmet sich Dr. Udo Seidel von der Amadeus…

DSL-Störung im Telekom-Netz

November 27, 2016 - 7:15 pm in Internet

[ad_1] Am Sonntag Nachmittag ist es im DSL-Netz der Telekom zu einer großflächigen Störung bei der Namensauflösung gekommen. Mit einem alternativen Nameserver kommt man trotzdem ins Netz. Offenbar ist es am Sonntag Nachmittag zu einer großflächigen Störung…