Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Kritische Sicherheitslücke: .netrc-Anmeldeinformationsleck in der PSF Requests-Bibliothek

2025-06-03
Kritische Sicherheitslücke: .netrc-Anmeldeinformationsleck in der PSF Requests-Bibliothek

Eine kritische Sicherheitslücke (CVE-2024-47081) wurde in der weit verbreiteten Python Requests-Bibliothek entdeckt. Angreifer können einen bestimmten API-Aufruf ausnutzen, um Anmeldeinformationen, die in der .netrc-Datei gespeichert sind, an Dritte weiterzugeben. Die Schwachstelle liegt in der URL-Verarbeitung der Bibliothek und wurde im September 2024 gemeldet, ist aber immer noch nicht behoben. Als Workaround wird empfohlen, die Anmeldeinformationen bei jedem API-Aufruf explizit anzugeben.

Mehr lesen
(seclists.org)
Entwicklung Requests-Bibliothek

Drei Umgehungen der Ubuntu-Einschränkungen für nicht privilegierte Benutzer-Namespaces

2025-03-29
Drei Umgehungen der Ubuntu-Einschränkungen für nicht privilegierte Benutzer-Namespaces

Die Qualys Security Advisory beschreibt drei Umgehungen, die in den Einschränkungen für nicht privilegierte Benutzer-Namespaces von Ubuntu 24.04 entdeckt wurden. Angreifer können standardmäßig installierte Tools wie aa-exec und busybox verwenden oder LD_PRELOAD einsetzen, um Administratorrechte innerhalb eines Namespaces zu erhalten und so Sicherheitsmaßnahmen zu umgehen. Diese Exploits nutzen AppArmor-Profile aus, die die Erstellung von Namespaces mit vollständigen Funktionen ermöglichen, wodurch potenziell die Ausnutzung von Kernel-Schwachstellen möglich wird, die Berechtigungen wie CAP_SYS_ADMIN oder CAP_NET_ADMIN erfordern.

Mehr lesen
(seclists.org)
Entwicklung Benutzer-Namespace

Offizielle Python-Dokumentation enthält Beispiel für klassische XSS-Schwachstelle

2025-02-23
Offizielle Python-Dokumentation enthält Beispiel für klassische XSS-Schwachstelle

Der Sicherheitsforscher Georgi Guninski hat eine kritische Cross-Site-Scripting-Schwachstelle (XSS) in einem Codebeispiel des CGI-Moduls der offiziellen Python 3.12-Dokumentation entdeckt. Die Schwachstelle liegt in der direkten Ausgabe von benutzerübermittelten Formulardaten ohne jegliche Sicherheitsfilterung. Dies stellt ein erhebliches Risiko für die Python-Webentwicklung dar und betrifft möglicherweise auch von KI generierten Code wie von ChatGPT und Deepseek. Obwohl das CGI-Modul in Python 3.13 entfernt wurde, bleibt eine erhebliche Menge an Legacy-Code anfällig.

Mehr lesen
(seclists.org)
Entwicklung