Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

MIT Kerbores: Denial-of-Service-Attacke

22.12.2014 08:37
In der MIT Kerberos Applikation wurden zwei Sicherheitslücken entdeckt. Diese erlauben es einem entfernten Angreifer Denial-of-Service-Attacken auszuführen. Das erste Problem kann von einem angemeldeten Angreifer ausgenutzt werden, wenn dieser Rechte besitzt Password-Policies zu setzen. In diesem Fall kann er einen Null-Zeiger-Derefernzfehler in der krb5_ldap_get_pas...

RPM: Zwei Schwachstelle

15.12.2014 13:06
In dem RPM Paket Manager wurden zwei Sicherheitslücken entdeckt. Die erste Schwachstelle hat zur Folge, dass ein entfernter Angreifer Befehle mit höheren Rechten ausführen kann. Der Angreifer muss hierzu eine spezielle RPM-Datei konstruieren. Ein spezieller CPIO-Header der RPM-Datei führt dann dazu, dass ein Integer-Overflow-Fehler in dem RPM Programm ausgelöst wird. Dieser Fehle...

Entfernter Angreifer kann Befehle ausführen

09.12.2014 12:26
Sicherheitslücken in wpa_supplicant und hostapd haben zur Folge, dass ein entfernter Angreifer auf dem lokalen Netzwerk beliebige Befehle ausführen kann. Ursache hierfür ist ein Programmierfehler in den »wpa_cli und hostapd_cli« Komponenten dieser Pakete. Diese verarbeitet Benutzereingaben nicht korrekt. Das Problem tritt auf, wenn Action-Skripte von diesen Komponenten ausgeführt werd...

Lücken in Clam AntiVirus

01.12.2014 09:05
In der Clan AntiVirus Applikation wurden zwei Sicherheitslücken kürzlich korrigiert. Die erste Schwachstelle erlaubt es lokalen und entfernten Angreifer Denial-of-Service-Attacken gegen das Programm durchzuführen. Dieses Problem tritt dann auf, wenn der Angreifer sein Opfer dazu bringt eine von ihm präparierte Datei via 'clamscan -a' zu kontrollieren. In diesem Fall kommt es zum Abs...

Google Chrome: Zahlreiche Sicherheitslücken korrigiert

24.11.2014 13:32
In dem Google Chrome Browser wurden kürzlich verschiende Schwachstellen korrigert. Ein entfernter Angreifer war durch die Fehler in der Lage Befehle mit den Rechten des Anwenders auszufeühren und an sensitive Information zu gelangen. Im einzelnen handelte es sich um * Use-After-Free-Fehler in pdfium (CVE-2014-7900, CVE-2014-7902) * Integer-Overflow-Fehler in pdfium (CVE-2014-7901) *...

Linux Kernel: Umount erlaubt Denial-of-Service-Attacke

17.11.2014 08:00
Eine Schwachstelle im Linux Kernel ermöglicht es einem lokalen Angreifer Denial-of-Service-Attacken durchzuführen. Die Attacke erlaubt es dem Angreifer das Root-Datei-System auf read-only zu setzen, so dass keine Daten mehr darauf geschrieben werden können. Der Programmierfehler befindet sich in der »fs/namespace.c«-Datei des Kernels. Dort wird nicht korrekt auf »CAP_SYS_ADMIN«-Recht...

Ruby-Schwachstellen

11.11.2014 12:22
In der Ruby-Programmiersprache wurden kürzlich zwei Sicherheitsprobleme entdeckt.Die erste Sicherheitslücke hat zur Folge, dass ein entfernter Angreifer Befehle auf dem System mit höheren Rechten ausführen kann. Der verantwortliche Programmierfehler liegt in der encodes()-Funktion (pack.c-Datei). Dort befindet sich ein Off-by-one Stack Overflow, der von dem Angreifer durch spezielle...

Ausgabe 01/2015

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.