Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Glibc: Lokaler Angreifer kann Befehle mit höheren Rechten ausführen

21.06.2017 08:54
Eine Schwachstelle in der Glibc-Bibliothek hat zur Folge, dass ein lokaler Angreifer Befehle mit höheren Rechten ausführen kann. Die Glibc-Bibliothek ist zentraler Bestandteil eines Linux Systems und stellt eine freie Implementierung der C-Standard-Bibliothek zur Verfügung. Verantwortlich für die nun entdeckte Sicherheitslücke ist ein Stack-Overflow-Fehler beim Verarbeiten der »LD_LIB...

OpenLDAP

12.06.2017 14:30
OpenLDAP stelle eine freie Implementiertung des Lightweight Directory Access Protocols bereit. Eine nun entdeckte  Sicherheitslücke in der OpenLDAP-Software hat zur Folge, dass ein entfernter, angemeldeter Angreifer den Dienst zumAbsturz bringen kann. Der Angreifer muss hierzu lediglich eine spezielle Suchanfrage an das System richten. Dabei muss er die Page-Size auf 0 setzen.Das...

Sudo: Lokaler Angreifer kann Dateien mit Root-Rechten überschreiben

06.06.2017 11:37
Eine Sicherheitslücke in Sudo hat zur Folge, dass ein lokaler Angreifer Dateien mit Root-Rechten überschreiben kann. Der Angreifer kann die Attacke mit einem geschickten Sudo-Aufruf auslösen. Dieser nutzt eine Schwachstelle in der »get_process_ttyname()«-Funktion aus, welche eigentlich den TTY-Namen zurückliefern sollte. Hierzu öffnet »get_process_ttyname()« die »/proc/pid/stat«-Date...

Samba: Sieben Jahre alte Sicherheitslücke

29.05.2017 12:42
Die Samba-Applikation ist sehr verbreitet und ermöglicht es, Windows-Funktionen wie die Datei- und Druckdienste unter Linux zu nutzen. Gerade in heterogenen Umgebungen wird Samba deshalb häufig eingesetzt. Dabei kommt das SMB/CIFS-Protokoll zum Einsatz.  Wie sich nun herausstellte schlummerte im Samba-Code seit sieben Jahren eine Sicherheitslücke im Server-Teil der Applikati...

KDE: kauth Sicherheitslücke erlaubt Root-Zugriff

26.05.2017 09:00
 Eine Schwachstelle in KDE Kauth und der Kdelibs-Bibliothek hat zur Folge, dass ein lokaler Angreifer Root-Rechte auf KDE-Systemen erlangen kann. Ursache hierfür ist ein Logik-Fehler in der Programmierung im Zusammenspiel mit D-Bus. Dadurch ist ein Angreifer in der Lage eine Spoofing-Attacke  durchzuführen. D-Bus ist eine Bibliothek, die vor allem im Desktop-Umf...

Linux Kernel: Denial-of-Service Attacke

16.05.2017 08:08
Eine Sicherheitslücke in dem KEYS-Subsystem des Linux Kernels hat zur Folge, dass ein lokaler Angreifer eine Denial-of-Servce-Attacke ausführen kann. Konkret kann er ein Programm im Userspace-Bereich ausführen, welches extrem viel Kernel-Speicher verbraucht. Damit zweingt er das System dann in die Knie. Der verantwortliche Programmierfehler befindet sich in der »eyctl_se...

WordPress: Fehler im Passwort-Reset

09.05.2017 12:18
WordPress ist das derzeit am weitesten verbreitete Content-Management-System (CMS) im Web. Es basiert auf PHP/MySQL und wird von fast 30 Prozent der meistbesuchten Websites verwendet. Wie viele andere CMS auch besitzt WordPress ein Passwort-Reset-Feature. Dieses Feature enthält allerdings in WordPress eine kritische Schwachstelle. Ein entfernter Angreifer kann sie ausnutzen, um an ein...

Ausgabe 07/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.