Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

vim-Editor: Angreifer kann Befehle ausführen

13.03.2017 09:40
Im Vim-Editor wurden kürzlich zwei Sicherheitslücken entdeckt. Sie erlauben es einem lokalen Angreifer, Befehle mit den Rechten des Anwenders auszuführen. Die Attacke kann über eine speziell konstruierte Vim-Undo-Datei ausgeführt werden. Wird diese von einem Anwender geladen, so kommt es zu einem Buffer Overflow im Programmcode. Dadurch ist der Angreifer dann in der Lage Befehle...

Java/Python: Probleme mit FTP

01.03.2017 13:09
Eine Sicherheitslücke in der Java-Implementation des FTP-Clients hat zur Folge, dass ein entfernter Angreifer Befehle auf FTP- und SMTP-Servern ausführen kann. Das Problem besteht darin, dass der FTP-Code in Java nicht korrekt implementiert ist. Der eigentlichte FTP-Client Programmcode findet sich in »sun.net.ftp.impl.FtpClient«. Damit kann eine Java-Applikation sehr einfach FTP-...

OpenSSL: Denial-of-Service-Attacke möglich

20.02.2017 16:39
Wieder einmal wurde in OpenSSL eine kritische Sicherheitslücke entdeckt, deren Risko auch von den Entwicklern als hoch eingestuft wird.  Ein entfernter Angreifer kann die Schwachstelle ausnutzen, um Denial-of-Service-Attacken sowohl gegen OpenSSL-Server als auch -Clients auszuführen. Hierzu braucht der Angreifer sich nicht einmal anzumelden. Allerdings muss er eine SSL-Verbindung...

Linux Kernel: Probleme mit IPv6-Paketen

13.02.2017 14:42
Eine Sicherheitslücke im Linux Kernel hat zur Folge, dass ein entfernter Angreifer an sensitive Informationen gelangen kann oder Denial-of-Serice-Attacken gegen das System durchführen kann. Ursache hierfür ist ein Problem im IPv6-Subsystem des Kernels. Der Programmierfehler tritt hier in der »ip6gre_err()«-Funktion in der »net/ipv6/ip6_gre.c«-Datei auf. Ein Angreifer kann die Sch...

Ruby: Minitar erlaubt Directory-Traversal-Attacke

06.02.2017 13:20
Bei »ruby-archive-tar-minitar«, kurz »minitar«, handelt es sich um eine Ruby-Bibliothek zum Verarbeiten von POSIX-Tar-Dateien. Solche Tar-Archive bündeln verschiedene Dateien und sind sehr verbreitet zum schnellen Austausch von Dateien. In der Vergangenheit waren Entpack-Tools- und Bibliotheken solcher Archive immer wieder anfällig für sogenannte Double-Dot- oder Directory-Traversal-A...

Tcpdump: Zahlreiche Schwachstellen

02.02.2017 13:19
Tcpdump ist der Standard-Netzwerk-Sniffer unter Linux und ist ein sehr ausgereiftes Tool zur Analyse und Überwachung von Netzwerkverbindungen. Netzwerk-Administratoren setzen dieses Tool routinemässig ein, wie auch zahlreiche weitere Tools basieren auf tcpdump. Nun wurden auf einen Schlag ganze 42 Schwachstellen in tcpdump gestopft, wie Debian bekanntgab. Ein entfernter Angreifer...

BIND: Sicherheitslücken erlauben Denial-of-Service-Attacken

23.01.2017 14:49
BIND ist ein verbreitestes Programmpaket zur Namensauflösung im Domain Name System. Es enthält sowohl Client- als auch Serverprogramme. Der eigentliche Server ist im Named-Daemon implementiert. In der BIND-Applikation wurden mehrere Schwachstellen entdeckt, die es einem entfernten Angreifer erlauben den Dienst zum Absturz zu bringen. Bei dem ersten Fehler handelt es...

Ausgabe 04/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.