Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

PostgreSQL-Datenbank: Mehrere Sicherheitslücken gestopf

27.05.2015 12:49
In der PostgreSQL-Datenbank wurden kürzlich mehrere Sicherheitslücken korrigiert. Mit Hilfe dieser Schwachstellen kann ein entfernter Angreifer Denial-of-Service-Attacken durchführen und möglicherweise auch an sensitive Information der Datenbank gelangen. Insgesamt wurden drei verschiedene Sicherheitslecks entdeckt und korrigiert: Eine Double-Free-Schwachstelle im Programmcode h...

VENOM-Attacke auf Xen, KVM und QEMU

19.05.2015 16:56
 Virtuelle Maschine (VMs) sind aus der heutigen Server-Landschaft nicht mehr wegzudenken. Webhoster verwenden sie beispielsweise, um ihren Kunden eigene Webserver anzubieten. Alle VMs laufen auf einem Host-System und werden von einem Hypervisor überwacht und gesteuert. Es gibt zahlreiche weiterverbreitete Hypervisor: Xen, KVM, VMWare, QEMU, Hyper-V, VirtualBox und so weiter. Für...

ProFTPD: Exploit erlaubt Angreifern das Ausführen von Befehlen

19.05.2015 13:35
Obwohl FTP ein schon recht veraltetes Protokoll ist, kommt es immer noch häufig zum Einsatz, wenn es darum geht Dateien zum Download bereitzustellen.Verschiedene FTP-Server hatten in den letzten Jahrzehnten diverse Sicherheitslücken, die es Angreifern teilweise erlaubten Befehle auf dem Server auszuführen. Jetzt wurde abermals eine solche Schwachstelle entdeckt.  Diesmal ist der...

Apache OpenOffice und LibreOffice: Buffer Overflow in HWP-Filter

06.05.2015 08:50
Sowohl in OpenOffice als auch LibreOffice wurde eine Sicherheitslücke entdeckt, die es einem entfernten Angreifer ermöglicht Befehle mit den Rechten des Anwenders auszuführen. Ursache hierfür ist ein Programmierfehler in dem Code des HWP-Filters. Der HWP-Filter verarbeitet Dateien im Hangul-Word-Processor-Format. Hangul ist eine von Hancom vertriebene Textverarbeitung. Der Angreifer k...

FFmpeg: Denial-of-Service-Attacke

28.04.2015 10:12
Eine Schwachstelle in FFmpeg hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann. Das Problem liegt in dem Code der Libavcodec-Codec-Sammlung. Ein entfernter Angreifer kann diese Sicherherheitslücke ausnutzen, indem er spezielle H.264-Daten in eine MP4-Datei packt. Wird diese dann von dem Anwender abgespielt, so kommt es zum Absturz des FFmpeg Prog...

Glibc: Fehler in DNS-Code

28.04.2015 10:05
Eine als kritisch eingestufte Sicherheitslücke in der Glibc-Bibliothek hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Ursache der Schwachstelle ist ein Programmierfehler in dem Code des DNS Response Handlers. Der Fehler befindet sich in der »/resolv/nss_dns/dns-host.c«-Datei, wo die »getanswer_r()«-Funktion nicht korrekt implementier...

GNU Mailman: Directory-Traversal-Fehler

14.04.2015 08:03
GNU Mailman ist eine Applikation zum Verwalten von Mailinglisten und E-Mail-Diskussionen. Das Programm ist vollständig in Python programmiert und kommt beispielsweise auf der SourceForge-Seite zum Einsatz. Aufgrund einer Sicherheitslücke ist ein lokaler Angreifer in der Lage Mailman-Privilegien auf dem System zu erlangen. Anfällig hierfür sind Systeme auf denen Mailman Transport für E...

Ausgabe 06/2015

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.