Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

vBulletin: SQL-Attacke möglich

28.07.2014 08:00
Eine <a href="http://www.securitytracker.com/id/1030647">Sicherheitslücke</a> in der vBulletin-Applikation hat zur Folge, dass ein entfernter Angreifer SQL-Injection-Attacken gegen die zugrundeliegende Datenbank ausführen kann. Ursache ist ein Programmierfehler in dem ajax/render/memberlist_items-Skript. Dieses verarbeitet bestimmte Benutzereingaben nicht korrek...

CUPS: Lokaler Angreifer kann mit Root-Rechten mitlesen

21.07.2014 10:03
Eine Sicherheitslücke in dem CUPS-Dienst hat zur Folge, dass ein lokaler Angreifer höhere Rechte auf dem System erlangen kann. Ursache ist eine Symlink-Attacke, die jeder lokaler Benutzer der lp-Gruppe ausnutzen kann.  Dadurch kann der Angreifen einen symbolischen Link von einer kritischen Systemdate auf eine Datei in dem /var/cache/cups/rss/-Verzeichnis anlegen. Anschliessend k...

CSRF-Schwäche im Adobe Flash Player

15.07.2014 08:49
Adobe hat im Flashplayer kürzlich eine Sicherheitslücke korrigiert. Sie ermöglichte einem entfernten Angreifer, Cross-Site-Request-Forgery-Attacken (CSRF) durchzuführen. Dadurch war er in der Lage, Sicherheitsprüfungen zu umgehen und Befehle mit den Rechten des Anwenders auszuführen. Das Problem tritt beim Verarbeiten speziell konstruierter SWF-Dateien auf, wenn diese mit...

SQL-Schwäche in Ruby on Rails

14.07.2014 09:42
Eine Sicherheitslücke im Framework Ruby on Rails ermöglicht einem entfernten Angreifer, SQL-Injection-Attacken gegen die verwendete Datenbank durchzuführen. Anfällig hierfür sind bestimmte Datenbankanfragen, die "bitstring"- und "range"-Typen enthalten. Der Programmierfehler befindet sich im Code des PostgreSQL-Adapter für Active Record. Betroffener Co...

Schwachstelle in Open AFS

30.06.2014 10:11
Open AFS ist eine Open-Source-Implementierung des Netzwerkprotokolls Andrew File System (AFS) für verteilte Netzwerkdateisysteme. Eine Sicherheitslücke in Open AFS (CVE 2014-4044) hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Fileservers ausführen kann. Der Angreifer muss hierzu in der Lage sein, eine Verbindung zum Open-AFS-Server aufzubauen. I...

Shocker: Sicherheitslücke in Docker

23.06.2014 08:35
Unter dem Namen Shocker steht seit Kurzem ein Programm zur Verfügung, das aus Docker-Containern ausbrechen kann. Docker ist ein High-Level API für LXC (Linux Containers) und erweitert teilweise deren Funktionalität. Docker isoliert Prozesse voneinander und macht das Installieren von Software dadurch sehr einfach. Hauptziel von Docker ist es, Software einfach zu verteilen....

Adobe Flash Player: Mehrere Sicherheitslücken korrigiert

16.06.2014 08:39
Kürzlich hat Adobe in einem Advisory auf mehrere Schwachstellen im Flash Player hingewiesen. Ein entfernter Angreifer kann dadurch Befehle mit den Rechten des Anwenders ausführen und Cross-Site-Scripting-Attacken starten. Daneben kann er auch auch Sicherheitskontrollen umgehen. Verantwortlich dafür sind verschiedene Programmierfehler. Der Angreifer kann durch speziellen F...

Ausgabe 09/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook