Open Source im professionellen Einsatz

Neueste Beiträge aller Blogs auf Linux-Magazin Online

Übersicht der vorhandenen Blogs

Apache Xerces: Fehler beim XML-Parsen

(04.07.2016 9:45)
Apache Xerces ist eine Familie von Softwarepaketen zum Parsen, Modifizieren und Generieren von XML-Daten. Die XML-Daten werden dabei auf einen Baum aus verschiedenen Objekten abgebildet. Gewünschte Manipulationen der XML-Daten lassen sich so sehr effektiv auf diesem Baum durchführen.Eine Sicherheitslücke in Xerces hat zur Folge, dass ein entfernter Angreifer die Applikation zum Abstur...

libarchive-Bibliothek: drei kritische Sicherheitslücken

(27.06.2016 13:13)
Drei Schwachstellen in der libarchive-Bibliothek haben zur Folge, dass entfernte Angreifer Befehle mit den Rechten des Anwenders ausführen können. Das erste Problem tritt beim Verarbeiten spezieller 7-Zip-Archive auf. Öffnet das Opfer eine solche Datei, so wird ein Buffer Overflow ausgelöst womit der Angreifer dann Schadcode ausführen kann. Der verantwortliche Programmierfehler b...

OpenSSL: Integer Overflow erlaubt Denial-of-Service-Attacken

(20.06.2016 17:30)
Eine Sicherheitslücke in OpenSSL hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann. Die Attacke ist mit Hilfe einer speziellen SSL-Anfrage an ein betroffenes System möglich. Der verantwortliche Programmierfehler befindet sich in der »ssl3_get_client_hello()«-Funktion in der »ssl/s3_srvr.c«-Datei. Hier kann es zu einem Integer-Überlauf kommen, den...

Dnsmasq: Fehler im Caching führt zu Absturz

(15.06.2016 15:57)
Dnsmasq ist ein DNS- und DHCP-Server für kleinere Netzwerke. Zunächst löst dnsmasq Namen immer lokal über die »/etc/hosts«-Datei auf. Noch unbekannte Namen werden auf den Upstream DNS-Server weitergeleitet und von diesem bearbeitet. So aufgelöste Namen werden dann in einem Cache gespeichert. Eine kürzlich entdeckte Schwachstelle in dnsmasq führt dazu, dass ein Angeifer den Dienst zum...

ImageMagick: Entfernter Angreifer kann Befehle ausführen

(07.06.2016 9:39)
Eine kürzlich entdeckte Schwachstelle in der ImageMagick-Bibliothek erlaubt es einem entferntern Angreifer Befehle mit den Rechten des Anwenders auszuführen. Die Attacke ist denkbar einfach auszunutzen und kann über einen speziellen Dateinamen ausgeführt werden. Dieser muss lediglich ein Pipe-Zeichen enthalten. Die nach dem Pipe-Zeichen aufgeführten Befehle werden dann ausgeführt. Ein...

PhpMyAdmin

(30.05.2016 10:58)
PhpMyAdmin ist eine freie Webanwendung zur Administration von MySQL-Datenbanken. In der PhpMyAdmin-Applikation wurden kürzlich mehrere Sicherheitslücken entdeckt. Die erste Schwachstelle ermöglicht es einem entfernten Angreifer an sensible SQL-Statements zu gelangen, die auf der Datenbank ausgeführt werden. Ursache hierfür ist ein Programmierfehler in der Verarbeitun...

Symantec Anti Virus Engine: Entfernter Angreifer erlangt Root-Rechte

(24.05.2016 16:25)
Eine Schwachstelle in der Symantec Anti Virus Engine hat zur Folge, dass ein entfernter Angreifer Befehle auf dem System ausführen kann. Die Attacke ist über geschickt konstruierte Portable-Executable-Dateien möglich (PE), die unter Windows als Format für ausführbare Programme verwendet werden. Eine entsprechend konstruierte Datei löst in der Engine einen Heap Overflow aus, der es dem...

libcurl: Sicherheitsleck durch falsche Dokumentation

(19.05.2016 16:49)
Die libcurl-Bibliothek ist zu cURL (Client for URLs oder Curl URL Request Library) gehörige Programmbibliothek. cURL selbst ist einKommandozeilen-Programm zum Übertragen von Dateien in Rechnernetzen. Im Gegensatz zu dem älteren wget erlaubt es neben dem Herunterladen auch das Hochladen von Dateien. Eine Sicherheitslücke in der libcurl-Bibliothek hat zur Fo...

PHP Integer-Overflow lässt Angreifer Befehle ausführen

(05.05.2016 8:37)
Die PHP-ZipArchive-Klasse stellt einem PHP-Entwickler verschiedene Funktionen zum Umgang mit komprimierten Zip-Dateien bereit. Der Programmierer kann so beispielsweise sehr einfach den Inhalt von in dem Zip-Archiv enthaltenen Dateien lesen: <?php    $zip = new ZipArchive;    if ($zip->open('test1.zip') === TRUE) {          echo $zip->getFromName('testfromfile.php');  ...

MySQL: Zahlreiche Sicherheitslücken korrigiert

(25.04.2016 15:28)
 In der MySQL-Datenbank wurden zahlreiche Schwachstellen entdeckt und kürzlich korrigert. Dabei handelt es sich vorwiegend um Probleme,die einem Angreifer das Ausführen von Denial-of-Service-Attacken erlauben.  Ein entfernter Angreifer kann Fehler in folgenden MySQL-Komponenten ausnutzen, um höhere Rechte zu erlangen: Server Pluggable Authentication (CVE-2016-0639) Mo...

Imlib-Bibliothek: Integer-Overflow lässt Angreifer Befehle ausführen

(19.04.2016 16:47)
Die Imlib-Bibliothek stellt zahlreiche Funktionen zum Bearbeiten von Bildern zur Verfügung. Ein nun entdeckter Fehler erlaubt es einem entfernten Angreifer Befehle mit den Rechten der Anwendung auszuführen. Anfällig hierfür sind beliebige mit der Imlib-Bibliothek geschriebene Programme. Ursache der Schwachstelle ist ein Programmierfehler, der zu einem Integer-Overflow-Fehler beim Lade...

Google Nexus: Zahlreiche Schwachstellen korrigiert

(14.04.2016 8:34)
Google hat mit diversen Sicherheitspatches insgesamt 29 Sicherheitslücken in Smartphones der Nexus-Serie korrigiert. Acht der veröffentlichten Schwachstellen sind als kritisch eingestuft, womit ein entfernter Angreifer auch Befehle auf dem Gerät ausführen kann. Zu den kritischen Fehlern gehört beispielsweise ein Missstand in dem Dynamic Host Configuration Protocol (DHCP) Client-System...

Schwachstellen im Chrome-Browser

(04.04.2016 14:35)
In dem Google Chrome Brwoser wurden kürzlich mehrere Schwachstellen korrigiert. Diese Sicherheitslücken erlauben es einem entfernten Angreifer Befehle mit den Rechten des Anwenders auszuführen. Die Attacken sind durch Webseiten mit speziellen Inhalten möglich. Besucht ein Chrome-Anwender eine solche Webseite, so werden die vom Angreifer gewünschten Befehle ausgeführt. Fol...

Kerberos: Entfernter Angreifer kann Befehle ausführen

(29.03.2016 13:10)
 Kerberos ist ein sehr populärer verteilter Authentifizierungsdienst. Eine nun entdeckte Sicherheitslücke in der Kerberos Applikation Kadmind hat zur Folge, dass ein entfernter, angemeldeter Angreifer Befehle auf dem System mit höheren Rechten ausführen kann. Die Attacke ist über einen geschickt konstruierten modify_principal-Befehl möglich. Enthält dieser ein leeres DB-Argument,...

Adobe Flash: Zahlreiche kritische Schwachstellen

(23.03.2016 6:38)
 Ein aktuelles Update für Adobe Flash korrigiert insgesamt 23 Sicherheitslücken. Die meisten dieser Schwachstellen erlauben es einem entfernten Angreifer Befehle mit den Rechten des Anwenders auszuführen. Hierzu genügt es schon, dass ein potenzielles Opfer eine Website mit speziell präparierten Flash-Code besucht. Laut Kaspersky wird eine der Schwachstellen (CVE-2016-1010) derzei...

Ausgabe 05/2017

Digitale Ausgabe: Preis € 7,62
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.