update www.itplanet.cc ist bis Dienstag 30.juni 2026 Nachmittag wieder wie gewohnt aufrufbar
update
www.itplanet.cc ist bis Dienstag 30.juni 2026 Nachmittag wieder wie gewohnt aufrufbar
Sie können aber auch in Linux einfach reinschnuppern
www.itplanet.cc/linux hat die richtigen Infos- dazu
update
www.itplanet.cc ist bis Dienstag 30.juni 2026 Nachmittag wieder wie gewohnt aufrufbar
22. Juni 2026
Fortinet hat letzten Freitag, am 19.5.2026, nun auch ein offizielles Statement zu "FortiBleed" veröffentlicht. Wir hatten zuvor in einem Blog-Artikel unseren aktuellen Wissensstand beschrieben. Bei dieser Angriffswelle handelt es sich nicht um die Ausnutzung einer neuen Schwachstelle. Die Angreifer:innen verwenden stattdessen Zugangsdaten, die bei früheren Sicherheitsvorfällen (u. a. im Zusammenhang mit CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858) erlangt wurden, sowie Brute-Force-Methoden gegen Geräte mit schwacher Passworthygiene und ohne Multi-Faktor-Authentifizierung (MFA).
Externe Sicherheitsforscher:innen berichten von einer großen Anzahl betroffener Geräte weltweit. Ursache für die hohe Erfolgsquote der Angriffe ist unter anderem, dass Administrator:innen-Passwörter auf FortiGate-Geräten bis zu den FortiOS-Versionen 7.2.11, 7.4.8 und 7.6.1 mit dem schwächeren SHA-256-Verfahren gehasht wurden. Auch nach einem Update auf eine neuere FortiOS-Version bleiben bestehende Passwörter so lange im älteren, leichter zu brechenden Format gespeichert, bis sich die jeweilige Administratorin oder der jeweilige Administrator nach dem Update erneut anmeldet. Erlangte Konfigurationsexporte ermöglichten es den Angreifer:innen, die darin enthaltenen Passwort-Hashes offline mittels Brute-Force-Angriffen zu kompromittieren.
Angreifer:innen mit gültigen, kompromittierten Zugangsdaten erhalten administrativen Zugriff auf betroffene FortiGate-Geräte. Dies ermöglicht unter anderem das Anlegen zusätzlicher lokaler Administrator:innen-Konten zur Aufrechterhaltung des Zugriffs, das Exportieren der Gerätekonfiguration, das Mitlesen von über das Gerät laufendem VPN- und Authentifizierungsverkehr sowie die Vorbereitung lateraler Bewegung in das interne Netzwerk, etwa in angebundene Active-Directory-Umgebungen. Bei Telekommunikationsanbietern und Managed Service Providern besteht zusätzlich das Risiko, dass über kompromittierte Geräte auch Kundennetzwerke erreicht werden können.
Fortinet empfiehlt Betreiber:innen von FortiGate-Geräten folgende Sofortmaßnahmen:
Bestehen Hinweise auf nicht autorisierte Änderungen an der Konfiguration oder andere Kompromittierungsindikatoren, sollte das betroffene Gerät als kompromittiert behandelt werden. In diesem Fall empfiehlt Fortinet eine vollständige Überprüfung gemäß den eigenen Empfehlungen zur Wiederherstellung kompromittierter Geräte sowie eine Überprüfung angebundener Active-Directory-Umgebungen auf Hinweise zu Authentifizierungsversuchen oder neu angelegten Konten.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Analysis of Reported Credential Compromise of FortiGate Devices – Fortinet PSIRT Blog (Englisch)
https://www.fortinet.com/blog/psirt-blogs/analysis-of-reported-credential-compromise-of-fortigate-devices
An update on FortiBleed – what’s happening with victim orgs – DoublePulsar (Englisch)
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4
Technical Tip: Enforcing PBKDF2 as hash function for administrator accounts in FortiOS v7.2.11 and later – Fortinet Community (Englisch)
https://community.fortinet.com/fortigate-3/technical-tip-enforcing-pbkdf2-as-hash-function-for-administrator-accounts-in-fortios-v7-2-11-and-later-220652
FG-IR-25-647: Multiple Fortinet Products’ FortiCloud SSO Login Authentication Bypass – Fortinet PSIRT (Englisch)
https://www.fortiguard.com/psirt/FG-IR-25-647
FG-IR-26-060: Administrative FortiCloud SSO authentication bypass – Fortinet PSIRT (Englisch)
https://www.fortiguard.com/psirt/FG-IR-26-060
CERT.at Blog: Aktueller Stand rund um "FortiBleed"
https://www.cert.at/de/blog/2026/6/aktueller-stand-rund-um-fortibleed
Update #1: 25.06.2026:
SocRadar Blog zu FortiBleed (viele Details) (English)
https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/
ArcticWolf Blog zu FortiBleed (English)
https://arcticwolf.com/resources/blog/inside-fortibleed-reverse-engineering-the-cyberstrike-harvester-behind-a-global-fortigate-credential-factory/
08.06.2026
Checkpoint warnt vor beobachteten Angriffen gegen die Produkte Checkpoint Security Gateway und Checkpoint Spark Firewall.
Die zugrunde liegende Sicherheitslücke CVE-2026-50751 erlaubt unbefugten Zugriff auf das VPN.
Folgende Systeme sind von der Sicherheitslücke betroffen, sofern IKEv1 aktiviert ist:
Checkpoint stellt für die unterschiedlichen Produkte Hotfixes bereit.
Im Advisory finden sich weiters auch Tipps zur Suche nach bereits erfolten Angriffen sowie mitigierende Maßnahmen.
Sollten sich in ihren Systemen Hinweise auf eine bereits erfolgte Kompromittierung zeigen bitten wir Sie mit uns Kontakt aufzunehmen.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Checkpoint Advisory zu CVE-2026-50571
Blog Artikel von Checkpoint zu den beobachteten Angriffen
20. Mai 2026
In Drupal Core existiert eine SQL-Injection-Schwachstelle in der Datenbank-Abstraktions-API. Speziell gestaltete Anfragen können zu beliebigen SQL-Injections führen. Die Schwachstelle ist ausschließlich für Drupal-Installationen relevant, die PostgreSQL als Datenbank einsetzen, und kann ohne Authentifizierung durch anonyme Benutzer:innen ausgenutzt werden.
Zusätzlich zur SQL-Injection enthalten die Drupal-Releases für die unterstützten Versionszweige (11.3, 11.2, 10.6 und 10.5) auch Sicherheitsaktualisierungen für die Abhängigkeiten Symfony und Twig. Diese Abhängigkeits-Updates betreffen unabhängig von der eingesetzten Datenbank alle Drupal-Installationen.
CVE-Nummer(n): CVE-2026-9082
CVSS Base Score: N/A
Angreifer:innen können ohne Authentifizierung speziell gestaltete Anfragen senden und so beliebigen SQL-Code ausführen. Mögliche Folgen sind die Offenlegung von Informationen sowie in bestimmten Konstellationen Privilegieneskalation, Remote Code Execution oder weitere Angriffe.
Auch wenn die SQL-Injection nur PostgreSQL-Installationen betrifft, sind durch die mitveröffentlichten Updates für Symfony und Twig je nach Konfiguration und eingesetzten Contrib-Modulen alle Drupal-Sites potenziell von weiteren Schwachstellen betroffen.
Drupal Core in folgenden Versionsbereichen:
Drupal stellt für die unterstützten Versionszweige folgende Sicherheitsaktualisierungen bereit:
Für nicht mehr unterstützte Minor-Branches wurden ausschließlich zur Behebung dieser Schwachstelle gezielte Versionen veröffentlicht:
Aufgrund der Schwere der Schwachstelle stellt Drupal zusätzlich manuell anzuwendende Patches für die End-of-Life-Versionen Drupal 9.5 und Drupal 8.9 bereit. CERT.at empfiehlt für diese Versionen mittelfristig eine Migration auf einen unterstützten Versionszweig.
Sites, die Drupal Steward einsetzen, sind laut Hersteller bereits vor bekannten Angriffsvektoren geschützt; die Aktualisierung sollte dennoch zeitnah erfolgen.
Da die Aktualisierungen auch Symfony und Twig betreffen, wird empfohlen zu überprüfen, welche Benutzerrollen Twig-Templates aktualisieren können (etwa über Views oder Contrib-Module).
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Drupal core - Highly critical - SQL injection - SA-CORE-2026-004 (Englisch)
https://www.drupal.org/sa-core-2026-004
Upcoming highly critical release on May 20, 2026 - PSA-2026-05-18 (Englisch)
https://www.drupal.org/psa-2026-05-18
Vorankündigung: Kritische Sicherheitslücke in Drupal Core - Patch-Verfügbarkeit am 20. Mai 2026 (Deutsch)
https://www.cert.at/de/aktuelles/2026/5/drupal-critical-preannounce
08. Mai 2026
Am 7. Mai 2026 wurden zwei neue Schwachstellen im Linux-Kernel öffentlich gemacht, die unter den Namen „Dirty Frag“ und „Copy Fail 2: Electric Boogaloo“ bekannt sind. Beide Schwachstellen ermöglichen lokalen, nicht privilegierten Benutzer:innen eine Eskalation auf root. Sie liegen in den In-Place-Entschlüsselungspfaden der Kernel-Module esp4, esp6 (IPsec/ESP) sowie rxrpc und nutzen Page-Cache-Writeprimitives aus, indem über splice(2), sendfile(2) bzw. MSG_SPLICE_PAGES angehängte, nicht kernelseitig privat gehaltene Seiten direkt überschrieben werden.
Funktionsfähige Proof-of-Concept-Exploits (PoCs) sind öffentlich verfügbar und ermöglichen die Eskalation auf root in einem einzigen Aufruf.
CVE-Nummer(n): CVE-2026-43284 (Dirty Frag), N/A (Copy Fail 2)
CVSS Base Score: noch nicht vergeben
Lokale, nicht privilegierte Angreifer:innen können durch Ausnutzung der Schwachstellen beliebige Inhalte im Page-Cache des Kernels überschreiben und sich dadurch root-Rechte auf dem betroffenen System verschaffen. Es handelt sich um deterministische Logikfehler ohne Race-Condition; bei einem Fehlschlag tritt keine Kernel-Panik auf, die Erfolgswahrscheinlichkeit wird als hoch beschrieben.
Der xfrm-ESP-Pfad setzt die Möglichkeit zur Erstellung von User-Namespaces voraus. Der RxRPC-Pfad benötigt diese Voraussetzung nicht, ist jedoch nur auf Distributionen ausnutzbar, in denen das Modul rxrpc.ko verfügbar bzw. geladen ist. Durch Verkettung beider Pfade lässt sich auf den meisten gängigen Distributionen root erlangen.
Bestehende Gegenmaßnahmen gegen „Copy Fail“ (CVE-2026-31431), insbesondere das Sperren des Moduls algif_aead, schützen NICHT gegen „Dirty Frag“ oder „Copy Fail 2“.
Betroffen sind die meisten aktuellen Linux-Distributionen mit aktiviertem Page-Cache-Pfad in esp4/esp6 bzw. rxrpc. Die zugrundeliegenden Code-Stellen existieren laut Hersteller- und Forscher:innen-Angaben seit Kernel-Commit cac2661c53f3 (xfrm-ESP, Januar 2017) bzw. 2dc334f1a63a (RxRPC, Juni 2023). Die folgende Aufstellung ist daher nicht abschließend; sie führt nur diejenigen Distributionen auf, deren Hersteller die Betroffenheit bisher öffentlich bestätigt haben oder für die der Forscher die Ausnutzung explizit getestet hat:
kernel-4.18.0-553.123.2.el8_10, kernel-5.14.0-611.54.3.el9_7 bzw. kernel-6.12.0-124.55.2.el10_1 und neuer)Amazon Linux untersucht laut Sicherheitsbulletin 2026-027-AWS aktuell den genauen Umfang der betroffenen Versionen.
Distributionen, die unprivilegierte User-Namespaces standardmäßig blockieren (z. B. Ubuntu via AppArmor in bestimmten Konfigurationen), sind über den xfrm-ESP-Pfad nicht angreifbar, bleiben aber über den RxRPC-Pfad anfällig, sofern das Modul vorhanden ist.
Zum Zeitpunkt der Veröffentlichung dieser Warnung liegen für die meisten Distributionen noch keine vollständig gepatchten Kernel vor. Der Upstream-Fix für den ESP-Pfad wurde am 7. Mai 2026 in den netdev-Tree aufgenommen (Commit f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4); der RxRPC-Fix ist noch nicht gemergt. Einzelne Distributionen (u. a. AlmaLinux, CloudLinux) haben gepatchte Kernel bzw. KernelCare-Livepatches in Vorbereitung oder bereits in Test bzw. Auslieferung.
CERT.at empfiehlt, die folgenden Maßnahmen umzusetzen:
esp4 und esp6 werden für IPsec-Tunnel (z. B. strongSwan, Libreswan) verwendet; rxrpc wird nahezu ausschließlich von AFS-Clients genutzt. Auf Systemen, die diese Funktionen nicht einsetzen, kann das Sperren der Module ohne Funktionsverlust erfolgen, beispielsweise durch Eintragen entsprechender Regeln in /etc/modprobe.d/ und Entladen aktuell geladener Module.esp4/esp6 nicht gesperrt werden. In diesem Fall ist die Installation eines gepatchten Kernels bzw. eines Livepatches abzuwarten.Mehrschichtige Mitigationen (Modul-Blacklist über modprobe.d sowie zusätzlich modprobe.blacklist=... als Kernel-Parameter) erhöhen die Wirksamkeit, insbesondere gegen ein automatisches Nachladen über Netlink aus User-Namespaces heraus.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Dirty Frag - Disclosure und PoC durch Hyunwoo Kim (Englisch)
https://github.com/V4bel/dirtyfrag
Greg Kroah-Hartman zur CVE-Vergabe auf der oss-security-Mailingliste (Englisch)
https://seclists.org/oss-sec/2026/q2/441
Copy Fail 2: Electric Boogaloo - Write-up und PoC (Englisch)
https://afflicted.sh/blog/posts/copy-fail-2.html
AlmaLinux: Dirty Frag vulnerability fix is ready for testing (Englisch)
https://almalinux.org/blog/2026-05-07-dirty-frag/
CloudLinux: Dirty Frag - Mitigation and Kernel Update (Englisch)
https://blog.cloudlinux.com/dirty-frag-mitigation-and-kernel-update
Red Hat: How to mitigate the „Dirty Frag“ vulnerability in OpenShift 4 (RHSB-2026-003) (Englisch)
https://access.redhat.com/solutions/7142250
Red Hat Security Bulletin RHSB-2026-003 (Englisch)
https://access.redhat.com/security/vulnerabilities/RHSB-2026-003
Amazon: Dirty Frag and other issues in Amazon Linux kernels (Englisch)
https://aws.amazon.com/security/security-bulletins/rss/2026-027-aws/
BlueOnyx: Security Advisory: Dirty Frag & Copy Fail 2 - Two New Linux LCE Vulnerabilities (Englisch)
https://www.blueonyx.it/news/sec-adv-dirtyfrag-copyfail2.html
Upstream-Fix für den ESP-Pfad (netdev/net.git) (Englisch)
https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=f4c50a4034e62ab75f1d5cdd191dd5f9c77fdff4
30. April 2026
Die Schwachstelle steckt im Linux-Kernel und beruht auf einem simplen, aber schweren Logikfehler. Benutzer:innen können dadurch mit wenig Daten gezielt in eigentlich geschützte Speicherbereiche schreiben. Das reicht aus, um interne Strukturen zu verändern und sich höhere Rechte zu verschaffen. Der Vorgang funktioniert zuverlässig und ohne typische Hürden wie Race Conditions oder spezielle Systemabhängigkeiten.
CVE-Nummer: CVE-2026-31431
CVSS Base Score: 7.8
Die Schwachstelle ermöglicht eine lokale Rechteausweitung bis Root mit anschließend vollständiger Kontrolle über das System. Ein einfacher Benutzerzugang reicht aus, um Sicherheitsgrenzen zu umgehen, Prozesse zu manipulieren und das System komplett zu kompromittieren.
Kernel, die zwischen 2017 und der Veröffentlichung des Patches erstellt wurden, und damit praktisch alle gängigen Linux-Distributionen, gelten als betroffen.
Bisher verifizierte Systeme:
Entscheidend ist, den Linux-Kernel zeitnah auf eine gepatchte Version zu aktualisieren, da nur so die zugrunde liegende Logiklücke geschlossen wird (behoben im Commit a664bf3d603d). Bis dahin lässt sich das Risiko lediglich begrenzen, etwa indem der Zugriff für nicht vertrauenswürdige lokale Nutzer*innen eingeschränkt und überflüssige Kernel-Funktionen deaktiviert werden. Ein vollständiger Schutz ist ohne Update jedoch nicht möglich.
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Update #1
04.05.2026 Wir haben den Hinweis erhalten, dass ein Workaround existiert, der auf Systemen greift, bei denen der betroffene Code in einem Kernel-Modul enthalten ist (wie unter anderem Debian-basierte Systeme wie Ubuntu). Dabei wird das Laden des Moduls verhindert.
Dies geschieht über die Datei disable-algif-aead.conf im Verzeichnis /etc/modprobe.d mit folgendem Inhalt:
install algif_aead /bin/false
Dadurch wird das Laden des betroffenen Kernel-Moduls unterbunden.
Falls das Modul bereits geladen wurde könnte möglicherweise bereits ein Exploit stattgefunden haben.
Wir möchten auch darauf hinweisen, dass vor der Anwendung des Workarounds geprüft werden muss, ob die betreffende Komponente im eigenen Anwendungsfall benötigt wird. Ist dies der Fall, kann der Workaround unerwünschte Nebenwirkungen haben oder das System möglicherweise beeinträchtigen bzw. unbrauchbar machen.
Copy Fail
https://copy.fail/
