Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

CUPS: Lokaler Angreifer kann Dateien mit Root-Rechten lesen

20.08.2014 13:15
Eine Sicherheitslücke in dem CUPS-Dienst hat zur Folge, dass ein lokaler Angreifer höhere Rechte auf dem System erlangen kann. Ursache ist eine Symlink-Attacke, die jeder lokale Benutzer der lp-Gruppe ausnutzen kann.  Dadurch kann der Angreifer einen symbolischen Link von einer kritischen Systemdate auf eine Datei in dem /var/cache/cups/rss-Verzeichnis anlegen. Anschliessend kan...

Wordpress

12.08.2014 19:30
In der Wordpress Applikation wurden mehrere Sicherheitslücken entdeckt und kürzlich korrigiert. Ein Problem tritt beim Verarbeiten von Widgets auf. Hierdurch ist ein entfernter Angreifer in der Lage Befehle auf dem System auszuführen. Widgets sind in der Standard-Konfiguration von Wordpress nicht aktiviert, so dass die Attacke in diesem Fall nicht möglich ist. Ein weitere...

Samba-Schwachstelle: Angreifer kann Befehle mit Root-Rechten ausführen

04.08.2014 07:33
Eine Sicherheitslücke in dem Samba-Dienst hat zur Folge, dass ein entfernter Angreifer Befehle mit Root-Rechten auf dem System ausführen kann. Die Attacke ist durch das Senden spezieller Netzwerk-Daten möglich. Ursache der Schwachstelle ist ein Heap-Overflow-Fehler in dem NetBIOS-Namens-Dienst nmbd.Betroffen sind die Versionen 4.0.0 bis 4.1.10.

vBulletin: SQL-Attacke möglich

28.07.2014 08:00
Eine <a href="http://www.securitytracker.com/id/1030647">Sicherheitslücke</a> in der vBulletin-Applikation hat zur Folge, dass ein entfernter Angreifer SQL-Injection-Attacken gegen die zugrundeliegende Datenbank ausführen kann. Ursache ist ein Programmierfehler in dem ajax/render/memberlist_items-Skript. Dieses verarbeitet bestimmte Benutzereingaben nicht korrek...

CUPS: Lokaler Angreifer kann mit Root-Rechten mitlesen

21.07.2014 10:03
Eine Sicherheitslücke in dem CUPS-Dienst hat zur Folge, dass ein lokaler Angreifer höhere Rechte auf dem System erlangen kann. Ursache ist eine Symlink-Attacke, die jeder lokaler Benutzer der lp-Gruppe ausnutzen kann.  Dadurch kann der Angreifen einen symbolischen Link von einer kritischen Systemdate auf eine Datei in dem /var/cache/cups/rss/-Verzeichnis anlegen. Anschliessend k...

CSRF-Schwäche im Adobe Flash Player

15.07.2014 08:49
Adobe hat im Flashplayer kürzlich eine Sicherheitslücke korrigiert. Sie ermöglichte einem entfernten Angreifer, Cross-Site-Request-Forgery-Attacken (CSRF) durchzuführen. Dadurch war er in der Lage, Sicherheitsprüfungen zu umgehen und Befehle mit den Rechten des Anwenders auszuführen. Das Problem tritt beim Verarbeiten speziell konstruierter SWF-Dateien auf, wenn diese mit...

SQL-Schwäche in Ruby on Rails

14.07.2014 09:42
Eine Sicherheitslücke im Framework Ruby on Rails ermöglicht einem entfernten Angreifer, SQL-Injection-Attacken gegen die verwendete Datenbank durchzuführen. Anfällig hierfür sind bestimmte Datenbankanfragen, die "bitstring"- und "range"-Typen enthalten. Der Programmierfehler befindet sich im Code des PostgreSQL-Adapter für Active Record. Betroffener Co...

Ausgabe 09/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook