Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Serendipity ist ein PHP-basiertes Weblog-Publishing-System, welches mehrere Datenbanksysteme unterstützt. Außerdem bietet es eine sehr große Auswahl an Plugins, was es in den letzten Jahren recht beliebt machte. Eine nun entdeckte Sicherheitslücke in Serendipity hat zur Folge, dass ein entfernter Angreifer unberechtigt SQL-Befehle ausführen kann. Ursache dieser SQL-Inject...

Die von Apache Commons Compress und Apache Ant intern verwendeten Sortier-Algorithmen haben eine sehr schlechte Worst-Case Performance: Bei bestimmten Eingaben dauert das Sortieren unverhältnismäßig lange. Die Performance ist sogar so schlecht, dass ein entfernter Angreifer dies ausnutzen kann, um Denial-of-Server-Attacken durchzuführen, indem er die CPU dauerhaft mit dem...

In Apache Open Office sind mehrere Sicherheitslücken aufgetaucht, die es einem entfernten Angreifer erlauben, Befehle mit den Rechten des Anwenders auszuführen. Die Ursache ist ein Integer-Overflow-Fehler. Dieser befindet sich in der Datei "vclmi.dll" und lässt sich mit Hilfe einer geschickt konstruierten "*.doc"-Datei auslösen. Ursache sind Schwachste...

Mehrere Sicherheitslücken in Realplayer haben zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Ursache hierfür sind verschiedene Buffer-Overflow-Fehler. So kann ein Angreifer mit Hilfe einer speziellen MP4-Datei Befehle ausführen (CVE-2012-1904). Eine Schwachstelle in den ASMRuleBook-Parsing-Routinen hat ebenfalls zur Folge, d...

Der Superserver Xinetd ist der um zahlreiche Sicherheitsfeatures erweiterte Nachfolger des Daemons Inetd. Seine Hauptaufgabe besteht darin, auf bestimmten Netzwerkports nach Verbindungen zu lauschen. Sollte eine solche Verbindung aufgebaut werden so startet Xinetd das passende Serverprogramm. Einige sehr einfache Netzwerkprotokolle sind auch direkt in Xinetd implementiert. Dazu gehöre...

Das Horde-Team hat kürzlich Version 5.0.21 des Internet Mail Programms (IMP) veröffentlicht. Darin enthalten ist auch ein Patch für eine Cross-Site-Scripting-Schwachstelle. Diese erlaubte es einem entfernten Angreifer unter anderem, an Benutzer-Cookies zu gelangen und Aktionen unter dem Namen des Benutzer auszuführen. Die Schwachstelle befand sich auf der minimalen Mailbo...

Google hat kürzlich mehrere Schwachstellen im Webbrowser Chrome korrigiert. Ein entfernter Angreifer war durch Programmierfehler in Chrome in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Unter anderem wurden folgende Probleme behoben: Fehler im Speichermanagement (CVE-2011-3078, CVE-2011-3081) IPC-Fehler (CVE-2011-3079) Race Condition (CVE-2011-3...