Open Source im professionellen Einsatz

Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Linux-Kernel: TCP-Hijacking möglich

25.08.2016 14:57
Eine Schwachstelle im Linux Kernel hat zur Folge, dass ein entfernter Angreifer TCP-Verbindungen übernehmen kann. Weiter kann er auch Denial-of-Service-Attacken durchführen. Der Angreifer nutzt hierzu eine Side-Channel-Attacke, um zunächst Informationen über bestehende TCP-Verbindungen zwischen zwei Hostsystemen zu beziehen. Hierzu sendet der Angreifer an die beiden Hosts geschickt ko...

Ruby on Rails: Zwei Sicherheitslücken

16.08.2016 08:29
In Ruby on Rais wurden zwei kritische Schwachstellen hier und hier gefunden (CVE-2016-6316 und CVE-20166-317). Das erste Problem ensteht durch einen Programmierfehler in den Action View. Hierbei handelt es sich um einen typischen Input-Validation-Fehler beim Verarbeiten von Benutzereingaben. Hierbei werden als »html_safe« markierte Strings nicht korrekt auf Anführung...

Quadrooter: Angreifer erlangt Root-Zugriff auf Android

10.08.2016 15:23
Kürzlich entdeckte Sicherheitslücken in dem Android System finden sich nach Schätzungen in circa 900 Millionen Geräten und erlauben es dem Angreifer Root-Rechte auf den anfälligen Systemen zu erlangen. Die Schwachstellen wurde von Checkpoint auf der diesjährigen Defcon in Las Vegas vorgstellt und betreffen Systeme mit Qualcomm Chipsets. Insgesamt wurde vier verschiedene Sicherheitsle...

Apache OpenOffice: entfernter Angreifer Angreifer kann Befehle ausführen

04.08.2016 13:47
 Eine Sicherheitslücke in der Apache Open-Office-Applikation hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Hierzu muss der Angreifer seinem Opfer lediglich eine speziell präparierten Open-Document-Präsentation zukommen lassen. Dies sind Dateien mit der Endung ».ODP« oder ».OTP«. Sobald eine solche Datei geladen wird, wird ein...

ASN1C Compiler: Angreifer kann Befehle ausführen

28.07.2016 06:38
Eine Schwachstelle in dem ASN.1 Parsing-Code des ASN1C Compilers für C/C++ hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Ursache ist eine Heap Overflow-Schwachstelle in der »rtxMemHeapAlloc()«-Funktion der »asn1rt_a.lib«-Bibliothek. Die Abstract Syntax Notation One (ASN.1) ist ein Standard zum Versand von Telekommunikationsdaten übe...

OpenSSH: Angreifer kann Benutzernamen erraten

20.07.2016 09:44
Eine Sicherheitslücke in OpenSSH hat zur Folge, dass ein entfernter Angreifer gültige Benutzernamen des Systems erraten kann. Normalerweise sollte eine solche Attacke verhindert werden, da selbst das Wissen über Benutzernamen des Systems dem Angreifer für weitere Attacken behilflich sein kann. Allerdings enthält OpenSSH an dieser Stelle einen Fehler, der es dem Angreifer gestattet Ben...

Gimp: Fehler durch fehlerhafte Speicherfreigabe

12.07.2016 13:41
Eine Sicherheitslücke in dem GNU Image Manipulation Program (GIMP) hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Das Problem tritt beim Verarbeiten von XCF-Dateien auf. Ursache des Problems ist ein Use-After-Free-Fehler. Dadurch wird ein Zeiger zunächst freigegeben und anschließend nochmals verwendet. Der Programmierfehler befindet...

Ausgabe 09/2016

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.