Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Im Telefonie-Server Asterisk sind erneut einige Schwachstellen beim Verarbeiten von SIP-Paketen entdeckt worden. Ein Angriff ist mit geschickt konstruierten SIP-Anfragen möglich, wodurch ein Buffer-Overflow ausgelöst wird. Damit kann ein entfernter Angreifer Speicherbereiche manipulieren und Asterisk zum Absturz bringen. SIP-Anfragen landen im Asterisk-Progra...

Das Mozilla-Projekt hat vergangene Woche gleich mehrere Advisories herausgegeben, um auf verschiedene kürzlich entdeckte Sicherheitslücken in Firefox und Thunderbird hinzuweisen. Bei den meisten dieser Schwachstellen handelt es sich um Fehler im Speichermanagement und Overflow-Fehler. Ein entfernter Angreifer kann diese ausnützen, um Befehle mit den Rechten des Anwenders...

Curl und die Bibliothek Libcurl dienen zum Übertragen von Netzwerkdaten mit URL-Syntax, wobei eine große Zahl verschiedener Protokolle unterstützt wird - unter anderem auch das HTTP-Protokoll, in dessen GSS-Authentifikationscode eine Sicherheitslücke entdeckt worden ist. Das HTTP-Protokoll bietet verschiedene Möglichkeiten zur Authentifizierung, wobei die einfachsten die...

Netlink ist eine Socket-basierte Schnittstelle zur IPC-Kommunikation zwischen User- und Kernelspace von Linux. Eine kürzlich entdeckte Schwachstelle in der darüber bereitgestellten Netzwerk-Monitor-Funktion führt dazu, dass ein lokaler Angreifer das System zum Stillstand bringen kann. Netlink ermöglicht die Kommunikatio...

PHP ist eine weit verbreitete serverseitige Skriptsprache für dynamische Webseiten. In PHPs Datei-Upload-Mechanismus ist eine Sicherheitslücke entdeckt worden, über die ein entfernter Angreifer Dateien mit Webserver-Rechten überschreiben kann. Ein Datei-Upload lässt sich mit PHP einfach realisieren. Auf der Clientseite ist dafür ein HTML-Formular erforderlich: <f...

Die Software Nagios dient zur Überwachung von IT-Systemen und bietet verschiedene Module sowie eine umfangreiche Web-Schnittstelle. Eine kürzlich entdeckte Sicherheitslücke im Nagios-Webinterface erlaubt es einem entfernten Angreifer, dem Anwender Javascript-Befehle unterzuschieben. Dabei sieht dies für den Anwender so aus als kämen diese Anweisungen direkt von der Nagio...

Die ursprünglich für das Gnome-Projekt entwickelte Bibliothek Libxml2 enthält zahlreiche Funktionen zum Verarbeiten von XML-Dokumenten. Unter anderem unterstützt sie das XPath-API, in dessen Implementierung vor kurzem eine Schwachstelle entdeckt wurde. Diese Sicherheitslücke der Bibliothek hat zur Folge, dass ein entfernter Angreifer eine Heap-Buffer-Overflow-Attacke durc...