Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

WP E-Commerce ist ein Shopping-Cart-Plugin für Wordpress. Eine darin kürzlich entdeckte Sicherheitslücke hat zur Folge, dass ein entfernter Angreifer auf die SQL-Datenbank mit SQL-Injection zugreifen kann. Ein Exploit zum Auslesen von Benutzeraccounts wurde ebenfalls veröffentlicht. Der Programmierfehler befindet sich in der Datei "wpsc-theme/functions/wpsc-user_log_...

Ende Juni 2011 hat Marco Slaviero eine Sicherheitslücke in Red Hats Tool "system-config-firewall" gemeldet. Die Software bietet ein GUI zum Aufsetzen von Firewall-Regeln. System-config-firewall stellt auch ein D-Bus-Interface bereit. Das GUI nutzt diese Schnittstelle, um mit dem Backend zum eigentlichen Setzen der Firewall-Regeln via IPC zu kommunizieren. Das Ba...

Tiki Wiki (genauer Tiki Wiki CMS Groupware) ist ein Content Management System (CMS), das auf PHP, Adodb und Smarty basiert. Auf seiner Grundlage lässt sich eine Vielzahl von Webapplikationen umsetzen. Eine darin entdeckte Sicherheitslücke erlaubt es einem entfernten Angreifer, Cross-Site-Scripting-Attacken durchzuführen. Die eingesetzte PHP-Template-Engine Smarty wird hä...

Mit jeder neuen Kernel-Release werden auch eine ganze Reihe von Sicherheitslücken im Kernel korrigiert. Das betraf vor kurzem eine Schwachstelle in der Bluetooth-Implementierung des Kernels, über die ein lokaler Angreifer Kernelspeicher auslesen konnte. Die verantwortlichen Programmierfehler befinden sich in den Dateien "net/bluetooth/l2cap_sock.c" und "ne...

Der VLC Mediaplayer ist ein funktionsreicher Medienabspieler, der zahlreiche Video- und Audio-Codecs und Dateiformate unterstützt. Zwei Sicherheitslücken in VLC haben zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken und eventuell Befehle mit den Rechten des VLC-Anwenders ausführen kann. Es handelt sich um zwei unabhängige Schwachstellen im Programmcode...

Squirrelmail ist eine in PHP programmierte Weboberfläche für E-Mail-Kommunikation. Die Software benötigt lediglich PHP auf dem Webserver und lässt sich über verschiedene Plugins erweitert werden. Aufgrund eines Programmierfehlers in den Routinen zum Verarbeiten von HTML-MIME-Daten ist ein entfernter Angreifer in der Lage, Cross-Site-Scripting-Attacken gegen Squirrelmail durchzuführen....

Digitale Signaturen spielen heute insbesondere bei Web-Applikationen eine große Rolle. Darum hat das W3C (World Wide Web Consortium) schon vor längerer Zeit eine Arbeitsgruppe zu XML-Signaturen eingesetzt. Die dort spezifizierten Standards werden vom Projekt Apache Santuario als Java- und C++ Bibliotheken implementiert. Für die C++-Schnittstelle wurde nun ein Sicherheitsupdate herausg...