Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Eine Schwachstelle in Ruby on Rails hat zur Folge, dass ein entfernter Angreifer Cross-Site-Skripting-Attacken durchführen kann. Das Problem besteht darin, dass das Feature "option_tags" in "form_options_helper.rb" sowie die Funktion "SafeBuffer#[]" benutzerdefinierten HTML-Code nicht ordentlich filtern. Daher ist ein entfernter Angreifer in...

Eine Sicherheitslücke in OpenSSL hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken gegen OpenSSL durchführen kann. Das Problem tritt beim Verarbeiten spezieller S/MIME-Header auf. Ursache dafür ist ein Null-Zeiger-Dereferenzfehler in dem Parser für ASN.1. Der Programmierfehler findet sich in der Datei "openssl/crypto/asn1/asn_mime.c". Die d...

Eine Sicherheitslücke in Samba hat zur Folge, dass ein entfernter nicht-angemeldeter Angreifer Root-Rechte auf dem Samba-Server erlangen kann. Ursache für die Schwachstelle ist ein Heap-Overflow-Fehler in der Datei "/smbd/process.c". Das Problem tritt beim Verarbeiten von Any-Batched-Anfragen (AndX) auf. Das Patch für den Fehler sieht folgendermaßen aus:...

Ein Heap-Overflow in der Bibliothek Libpng führt in Mozilla-Produkten dazu, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Das Problem tritt beim Verarbeiten der Bildgröße auf, wenn Speicher zur Chunk-Dekompression alloziert wird. Eine Attacke ist mit Hilfe einer speziell konstruierten PNG-Datei möglich. Der Overflow tritt...

Aufgrund einer Sicherheitslücke in Python ist ein entfernter Angreifer in der Lage, Denial-of-Service-Attacken durchzuführen. Die Schwachstelle befindet sich im Modul Simple XML-RPC-Server. SimpleXMLRPCServer ist eine Standardkomponente von Python. Mit dem Modul lassen sich sehr einfach XML-RPC-Server in der Skriptsprache aufsetzen. Bei XML-RPC handelt es sic...

Gleich mehrere Sicherheitslücken hat Adobe in seinem Flash Player geschlossen. Die verschiedenen Schwachstellen erlaubten es einem entfernten Angreifer, Cross-Site-Skripting-Attacken durchzuführen und Flash-Inhalte zu erzeugen, die das Ausführen von Programmcode ermöglichen. Dieser Code lief mit den Rechten des Anwenders. Betroffen sind die Versionen 11.1.102...

Wie im Insecurity Bulletin kürzlich berichtet war die Umsetzung von Hash-Tabellen in zahlreichen Programmiersprachen anfällig für eine einfache Kollisionsattacke. Sie ließ sich für Denial-of-Service-Attacken ausnutzen. Die PHP-Community reagierte darauf mit einem Patch, das diese Lücke beseitigen sollte. Wie sich nun zeigte, hat dieses Patch jedoch ein noch größeres Sicherheitsloch ge...