Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Der VLC-Player ist ein freier Medien-Player für zahlreiche Audio- und Videoformate. Eine Sicherheitslücke in der Software hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Die Attacke ist mit Hilfe einer geschickt konstruierten Ogg-Datei möglich. Ursache für die Schwachstelle ist ein Heap-Overflow-Fehler in der Quelltextda...

Mediawiki verwaltet Inhalte in Form eines Wiki-Systems, so dass Benutzer diese via Browser verändern können. Die Webanwendung ist PHP-basiert und läuft unter anderem mit MySQL-Datenbanken. Eine kürzlich entdeckte Sicherheitslücke in Mediawiki hat zur Folge, dass ein entfernter Angreifer Cross-Site-Skripting-Attacken (XSS) mit Hilfe geschickt konstruierter URLs ausführen kann....

Mozilla Firefox (4-8), Seamonkey (vor 2.6) und Thunderbird (4-8) enthalten eine Sicherheitslücke, die es einem entfernten Angreifer erlaubt, Befehle mit den Rechten des Anwenders auszuführen. Die Attacke kann mit einer speziellen HTML-Seite durchgeführt werden. Der verantwortliche Programmierfehler befindet sich in der Funktion "nsHTMLSelectElement()". Hier wird...

Zwei vor kurzem korrigierte Schwachstellen in der PHPList-Applikation haben zur Folgen, dass ein entfernter Angreifer Cross-Site-Skripting-Attacken und SQL-Injection-Attacken gegen anfällige Systeme durchführen kann. Damit kann der Angreifer Cookies von Benutzern der Website auslesen. Diese können auch Authentifikationsinformationen enthalten und so eine unberechtigte Anmeldung des An...

Eine Sicherheitslücke in der MySQL-Datenbank hat zur Folge, dass ein entfernter Angreifer den Anmeldemechanismus der SQL-Datenbank umgehen kann. Der Programmierfehler befindet sich in der Quelltextdatei "sql/password.c". Funktionen dieser Datei sind Bestandteil des Authentifikationsmechanismus von MySQL. Eine zentrale Rolle hierbei spielt die Funktion "che...

Bind ist der verbreitetste Open-Source DNS-Server, weshalb Sicherheitslücken darin besonders kritisch zu bewerten sind. Schließlich treffen sie mit dem Domain Name System eine zentrale Komponente des Internet betreffen. In einem Advisory wies der Hersteller ISC kürzlich daraufhin, dass Bind 9 einen Programmierfehler enthält, der Denial-of-Service-Attacken gegen Nameserver...

StrongSwan ist der Nachfolger des FreeS/WAN Projektes und stellt eine umfangreiche IPSec-Implementierung für Linux mit Kernel Versionen 2.6 und 3.x bereit. Authentifizierung geschieht über X.509-Zertifikate. StrongSwan ist trotz der implementierten komplexen Verfahren vergleichsweise einfach zu administrieren und unterstützt auch Internet das Key Exchange Protocol (IKEv1 und IKEv2)....