Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Der Very Secure FTP Daemon (Vsftpd) ist ein freier FTP-Server, der besonderen Wert auf eine sichere Programmierung legt, um Schwachstellen so gut wie möglich zu vermeiden. Aber auch das beste Software-Design bringt nichts, wenn die Quellen auf dem Download-Server von einer Backdoor unterwandert werden, wie es jüngst geschah. Die Backdoor wurde erst kürzlich erst entdeckt...

Kerberos ist ein umfangreiches Authentifzierungsystem, das am MIT entwickelt wurde und frei zugänglich ist. Es umfasst auch einen FTP-Server, in dessen Code eine Sicherheitslücke entdeckt worden ist. Sie ermöglicht es es einem entfernten Angreifer mit gültigem FTP-Account, höhere Gruppenrechte zu erlangen. Die Verwendung von Netzwerkprogrammen wie FTP mit Kerberos-Unterst...

OpenSSH ist die freie Implementierung des SSH-Protokolls, das in seiner kommerziellen Version von SSH Communications Security als SSH Tectia vertrieben wird. Vor einer Woche wurde ein Remote-Root-Exploit für eine veraltete OpenSSH/FreeBSD-Version veröffentlicht. Aufgrund der Brisanz von SSH-Root-Exploits wurde die Schwachstelle von praktisch allen Security-Websites gemeld...

D-Bus dient der Inter-Prozess-Kommunikation (IPC) zwischen Desktopanwendungen und ist der Nachfolger von DCOP (Desktop Communication Protocol) für KDE und CORBA (Common Object Request Broker Architecture) für Gnome. D-Bus-Nachrichten sind gewöhnlich binär in nativer Byte-Order kodiert, also little-endian auf einem x86-Rechner. Ein Programmierfehler beim Verarbeiten von Daten in andere...

Die Gnome-Bibliothek Gdk-pixbuf bietet verschiedene Funktionen zum Laden und Verarbeiten von Bilddateien. Eine kürzlich darin entdeckte Sicherheitslücke hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann. Der Programmierfehler befindet sich in der Funktion "gdk_pixbuf__gif_image_load()" (in der Datei "gdk-pixbuf/io-gif....

Google hat Updates veröffentlicht, um mehrere Schwachstellen im Webbrowser Chrome zu schließen. Wie so oft handelt es sich dabei hauptsächlich um Programmierfehler im Speichermanagement, die sich über geschickt konstruierte HTML-Seiten ausnutzen lassen, um Befehle mit den Rechten des Anwenders auszuführen. Unter anderem wurden folgende Schwachstellen entdeck...

Die freie Bürosuite Libre Office einen Vielzahl von Dokumentenformaten importieren. In den Routinen zum Verarbeiten von Lotus-Word-Pro-Dateien ("*.lwp") ist eine Sicherheitslücke entdeckt worden, über die in entfernter Angreifer unter Umständen Befehle mit den Rechten des Anwenders ausführen kann. Bei der Schwachstelle handelt es sich um einen Buffer-Overflow-Fe...