Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

IBMs Websphere Application Server wird über die so genannte Administrationskonsole verwaltet. In diesem Web-Interface ist eine Sicherheitslücke entdeckt worden, über die ein entfernter Angreifer die Einstellungen des Websphere-Servers ändern kann. Die Web-Konsole ist anfällig für eine Cross-Site-Request-Forgery-(CSRF) Attacke, dank der ein entfernter Angreifer Aktionen m...

Eine Cross-Site-Scripting-Schwachstelle in Adobe Flashplayer hat zur Folge, dass ein entfernter Angreifer dem ahnungslosen Browser-Anwender Javascript-Befehle unterschieben kann. Für den Anwender sieht es so aus, als kämen diese Anweisung von der Website, die er gerade besucht. Laut Adobe wird diese Sicherheitslücke derzeit aktiv ausgenutzt. Dieses Problem betrifft alle P...

Bei der Virtualisierung spielt Linux unter anderem mit KVM in der obersten Liga mit. Dabei verlässt sich der KVM-Anwender darauf, dass das Gastsystem ausschließlich innerhalb der virtuellen Maschine (VM) läuft und dem eigentlichen Host nichts anhaben kann. Dem ist aber nicht immer so, wie eine Schwachstelle zeigt, die in der jüngsten Qemu-Version korrigiert wurde. Die Ker...

Ruby on Rails ist ein Web Application Framework, das nach dem Prinzip "Don't Repeat Yourself" (DRY) arbeitet, und damit eine agile Softwareentwicklung ermöglicht. Basierend auf Ruby implementiert Rails eine Model-View-Controller-Architektur (MVC), wodurch sich sehr zügig bestimmte Web-Anwendungen mit Datenbank-Anbindung entwickeln lassen. Kürzlich ist eine Sicherheitslücke i...

Fetchmail ist ein Client-Programm, das E-Mails von POP3-, IMAP-, ETRN- (Extended Turn) oder ODMR- (On-Demand Mail Relay) -Servern herunterlädt. Dabei unterstützt die Software sichere Verbindungen per SSL/TLS durch Einsatz der OpenSSL-Bibliothek. Eine in diesem Zusammenhang aufgetretene Sicherheitlücke ermöglicht allerdings Denial-of-Service Attacken gegen Fetchmail. Neben...

Der Cyrus Mailserver, ursprünglich entwickelt von der Carnegie Mellon Universität, ist ein verbreiteter Server zum Abwickeln von POP3 und IMAP. Einige Linux-Distributionen haben erst kürzlich Updates für eine schon einige Wochen alte Sicherheitslücke (CVE-2011-1926) herausgegeben. IMAP (Internet Message Access Protocol) ist ein Protokoll der Anwendungsebene im TCP/IP-Prot...

Gimp (GNU Image Manipulation Program) ist ein populäres und ausgereiftes Bildverarbeitungsprogramm unter GPL-Lizenz. Mehrere Sicherheitslücken in der Anwendung ermöglichen es einem entfernten Angreifer, Befehle mit den Rechten des Anwenders auszuführen. Die meisten dieser Schwachstellen wurde schon vor geraumer Zeit in Gimp korrigiert. Trotzdem haben einige Distributionen...