Open Source im professionellen Einsatz

Neueste Beiträge aller Blogs auf Linux-Magazin Online

Übersicht der vorhandenen Blogs

Libxfont: Angreifer kann Befehle ausführen

(26.05.2014 9:09)
Mehrere Sicherheitslücken in der Bibliothek Libxfont haben zur Folge, dass lokale und entfernte Angreifer Befehle mit den Rechten des Anwenders ausführen können. Das erste Problem tritt beim Verarbeiten von "fonts.dir"- und "fonts.alias"-Dateien auf. Hierdurch kann es zu einem Heap-Overflow-Fehler kommen, der dem Angreifer erlaubt, Befehle auszuführen...

Searchonymous: Anonyme Google-Suche mit Firefox

(22.05.2014 8:59)
Trotz des etwas seltsamen Namens ist Searchonymous ein wirklich praktisches Firefox-Addon, das die Google-Suchen des Anwenders in gewissem Maße anonymisiert (die IP-Adresse oder die Browser-Header verschleiert es nicht). Indem Searchonymous bestimmte Cookies blockiert und andere nicht, lässt es die Google-Einstellungen unberührt, und der Benutzer bleibt in Diensten wie GM...

Linux-Kernel: Race Condition lässt Befehle ausführen

(19.05.2014 9:56)
Eine Sicherheitslücke (CVE-2014-0196) im Linux-Kernel hat zur Folge, dass ein lokaler Angreifer Denial-of-Service-Attacken ausführen kann. Weiter ist es auch möglich, dass lokale Angreifer höhere Rechte auf dem System erlangen. Die Ursache ist ein Race-Condition-Fehler im Code für Pseudo-Terminals (PTY). Der Programmierfehler befindet sich in der Funktion "n_tty_writ...

Geografische Bookmarks für Android

(14.05.2014 9:02)
Auf den ersten Blick wirkt die freie Android-App Geo Bookmark relativ sinnfrei: Sie liefert ein Widget, mit dem man ein geografisches Bookmark auf der Home Screen seines Smartphone platzieren kann. Ein solches Lesezeichen kann man den mit Karten-Apps wie Google Maps oder OsmAnd öffnen. Die simple Anwendung erweist sich in der Praxis aber als ziemlich praktisch: Man kann beispielsweise...

Strongswan: Denial-of-Service-Attacke

(12.05.2014 10:02)
Eine Sicherheitslücke in der IPSec-Implementierung Strongswan hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann. Damit ist er in der Lage den IKE-Dienst zum Absturz zu bringen. Die Schwachstelle kann durch eine spezielle ID-Payload ausgelöst werden. Konkret muss der Angreifer eine speziell konstruierte "ID_DER_ASN1_DN"-ID-P...

Open SSL: Denial-of-Service-Attacke

(05.05.2014 9:38)
Eine Sicherheitslücke in Open SSL hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann. Ein Angreifer ist dadurch in der Lage, den Dienst zum Absturz zu bringen. Hierzu muss er lediglich speziell konstruierte Netzwerkdaten an die Open-SSL-Applikation senden. Der Programmierfehler befindet sich in der Funktion "do_ssl3_write()"...

Django: Drei Schwachstellen

(29.04.2014 8:58)
Im Python-Webframework Django sind drei Sicherheitslücken entdeckt und korrigiert worden. Sie ermöglichen es einem Angreifer, SQL-Statements auf der Datenbank auszuführen. Außerdem kann er Befehle mit höheren Berechtigungen durchführen. Das erste Problem findet sich in der Funktion "django.core.urlresolvers.reverse()". Mit Hilfe einer geschickt konstruierten URL...

Tafelbilder mit Whiteboard Cleaner nachbessern

(24.04.2014 9:43)
Der Referent oder Dozent schreibt und zeichnet aufs Whiteboard. Wie gut, dass man das per Handy oder Digitalkamera einfach abfotografieren kann. Das Ergebnis sieht aber meist enttäuschend flau und kontrastarm aus und ist wenig brauchbar.Die Rettung kommt mit dem freien Grafik-Alleskönner Imagemagick. Der Informatikstudent Leland Batey hat ein Skript für das Programm gebastelt, das Wh...

Moderne Nummernspiele

(22.04.2014 14:34)
Es ist schon ein Kreuz mit der modernen Zeit. Unbestritten bringt sie uns Vorteile und Möglichkeiten, von denen wir vor fünfzehn, zwanzig Jahren nur hätten träumen können. Eine Stiftung wie die Document Foundation beispielsweise, mit ihren unzähligen Aktiven rund um den Globus, wäre in dieser Form früher undenkbar gewesen, weil es allein schon an den technischen Möglichkeiten gefehlt...

Wordpress: Entfernter Angreifer erlangt höhere Rechte

(22.04.2014 9:30)
Zwei Sicherheitslücken in Wordpress haben zur Folge, dass ein entfernter Angreifer höhere Rechte auf dem System erlangen kann. Das erste Problem entsteht durch Programmierfehler in den PHP-Dateien "wp-admin/includes/post.php" und "wp-admin/includes/class-wp-posts-list-table.php", wodurch ein entfernter, angemeldeter Angreifer unberechtigt Postings ver...

Lost Photos Found: Fotos aus der Mailbox fischen

(16.04.2014 8:36)
Wessen E-Mail-Postfach schon ein paar Jahr auf dem Buckel hat, der hat darin bestimmt auch eine Menge Fotos, allerhand Aufnahmen, die er geschickt bekommen hat und an die er sich gar nicht mehr vollständig erinnert. Wäre es nicht schön, alle diese Bilder aus dem Postfach zu saugen und in einem Verzeichnis abzulegen? Lost Photos Found heißt das GPLv2-lizenzierte Python-Skr...

Heartbleed-Attacke: Einfacher Programmierfehler mit weitreichenden Folgen

(14.04.2014 14:37)
Die so genannte Heartbleed-Attacke nutzt einen Programmierfehler in Open SSL aus. Genauer gesagt befindet sich die Schwachstelle in der Heartbeat-Erweiterung des TLS-Protokolls, daher der Name. Diese Erweiterung dient dazu, eine TLS-Verbindung zwischen Client und Server aktiv zu halten. Dazu wird einfach eine Payload beliebigen Inhalts zwischen den zwei Hosts gesendet. Der Empfänger s...

Schöneres Syntax-Highlighting für Nano

(08.04.2014 10:22)
Manche Anwender schätzen den Terminal-Editor Nano, weil er so einfach zu bedienen ist. Beim Syntax-Highlighting lässt er allerdings viele Wünsche offen. Da kommt so etwas wie das Github-Repository nanorc wie gerufen. Die richtige Konfigurationsdatei lässt PHP-Code in Nano gut aussehen. Dort gibt es eine...

Python: Denial-of-Service-Attacke durch Zip-Dateien

(07.04.2014 9:56)
Eine Sicherheitslücke in Python hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken gegen Python-Anwendungen durchführen kann. Das Problem findet sich in den Routinen zum verarbeiten von Zip-Dateien ("ZipExtFile", "ZipFile"). Im einzelnen sind folgende Funktionen für die Attacke anfällig: ZipExtFile.read ZipExtFile.read(n) ZipExtFile.rea...

Sicherheitslücken in Adobe Reader

(31.03.2014 8:32)
Im proprietären PDF-Viewer Adobe Reader wurden kürzlich mehrere Sicherheitslücken geschlossen. Folgende Schwachstellen wurden korrigiert: Heap-Overflow-Fehler, der durch spezielle PDF-Dateien beim Öffnen ausgelöst werden kann. Ein entfernter Angreifer kann dadurch Befehle mit den Berechtigungen des Anwenders ausführen. (CVE-2014-0511) Umgehen von Sandbox-Restriktionen durch spe...

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.