Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

PostgreSQL: Drei Sicherheitslücken

17.08.2017 13:18
PostgreSQL ist eines der am weitesten verbreiteten freien objektrelationalen Datenbankmanagementsysteme, das seit 1997 stetig weiterentwickelt wird. In PostgreSQL wurden kürzlich mehrere Schwachstellen entdeckt und korrigiert. Diese erlaubten es einem entfernten Angreifer sich unberechtigt an der Datenbank anzumelden, Passwörter anderer Benutzer einzusehen und auch Objekte der Datenba...

Linux Kernel Race-Condition-Fehler

11.08.2017 08:47
Der Linux Kernel enthält in dem Dateisystem-Code einen kritischen Race-Condition-Fehler. Als Race Condition werden in der Softwareenticklung allgemein Situationen bezeichnet, bei denen die Ausführung von Programmcode vom zeitlichen Verhalten der Einzeloperationen abhängt. Der Begriff geht auf die Vorstellung zurück, dass zwei Signale um die Wette laufen. Grundsätzlich sollten solche S...

Cacti: Cross-Site-Skripting-Schwachstelle

31.07.2017 10:50
Cacti ist eine Web-Applikation, die die Auslastung verschiedenster Netzwerkkomponenten oder anderer IT-Systeme innerhalb eines lokalen Netzwerks überwachen hilft. Prinzipiell kann Cacti  beliebige Messdaten erfassen (bepsielsweise die Temperatur). Eine nun entdeckte Sicherheitslücke in der Cacti-Applilation hat zur Folge, dass ein entfernter Angreifer Cross-Site-Skripting-Attacke...

Linux Kernel: Buffer Overvlow in Netzwerk-Treiber

27.07.2017 09:56
Schwachstellen im Linux Kernel sind immer besonders kritisch, da Angreifer darüber meist sehr umfangreiche Rechte erlangen können. Dies ist auch der Fall bei einem nun entdeckten Problem in einem Broadcom-Treiber. Der Programmierfehler befindet sich in der »brcmf_cfg80211_mgmt_tx()«-Funktion in der »drivers/net/wireless/broadcom/brcm80211/brcmfmac/cfg80211.c«-Datei des Kernels. Hier k...

Evince: Angreifer kann Befehle ausführen

18.07.2017 09:39
Evince ist ein weit verbreiter Dokumenten-Viewer unter Linux. Kürzlich wurde eine Schwachstelle in Evince entdeckt, die es einem entfernten Angreifer erlaubt Befehle mit den Rechten des Anwenders auszuführen. Gewöhnlich wird Evince zum Betrachten von PDF- oder Tex-DVI-Dateien verwendet. Allerdings bietet es auch die Möglichkeit spezielle Comic-Book-Formate mit der Dateiendung ».cbz«...

Webmin: Cross-Site-Skripting-Attacken möglich

09.07.2017 10:01
Eine nun korrigierte Schwachstelle in der Webmin-Applikation erlaubt es einem entfernten Angreifer Cross-Site-Skripting-Attacken durchzuführen. Damit ist ein Angreifer in der Lage beispielsweise an Cookie-Informationen eines Anwnders zu gelangen. Diese können unter Umständen Authentifikationsinforationen enthalten. Im Webmin-Programmcode finden sich gleich mehrere Programmierfehler, d...

OpenVPN: Mehrere Schwachstellen entdeckt

26.06.2017 08:44
OpenVPN ist eine Software zum Aufbau virtueller privaten Netzwerke (VPNs) über eine verschlüsselte TLS-Verbindung. Zur Verschlüsselung wird die OpenSSL-Bibliothek verwendet. Sowohl UDP als auch TCP werden zum eigentlichen Datentransport eingesetzt. Nun entdeckte Sicherheitslücken in OpenVPN haben zur Folge, das sein entfernter Angreifer die OpenVPN-Applikation zum Absturz bringen kann...

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.