☀️ Events: Kurzer Rückblick
– Teamtreffen Anfang Juli
– DSLAM in München
– Erste Beiratssitzung
– Sommerevent der COMBACK GmbH
🪲 Schwachstelle mit CVSS-Score 9,8
Gefunden. Gemeldet. Behoben. Veröffentlicht.
Und das binnen 2 Wochen.
Simon hat in einem Pentest eine unauthentifizierte Remote-Code-Execution-Schwachstelle im SUSE Manager gefunden:
Über den SUSE Manager lassen sich Linux-Systeme verwalten. Eine Funktion zum Ausführen von Befehlen auf den angeschlossenen Linux-Systemen ist über Websockets umgesetzt. Die Websocket-Verbindung kann auch ohne Authentifizierung aufgebaut werden – und nachfolgend Befehle ausgeführt werden, typischerweise mit root-Berechtigungen.
Die CVE dazu gab’s sogar noch, bevor der Pentest beendet war.
Schön, dass es auch mal schnell gehen kann.
Empfehlung: Updates einspielen.
Links: siehe Kommentare.
🕵️ Red Teaming
Mitte Juli sind wir in ein Red-Teaming-Projekt gestartet und aktuell fleißig in der Informationssammlungsphase und Vorbereitung von Angriffen.
Wir wünschen euch einen schönen August mit dem ein oder anderen entspannten Sommertag. 🙂
