Beiträge von Mark Vogelsberger

Insecurity Bulletin

IBMs Websphere Application Server wird über die so genannte Administrationskonsole verwaltet. In diesem Web-Interface ist eine Sicherheitslücke entdeckt worden, über die ein entfernter Angreifer die Einstellungen des Websphere-Servers ändern kann. Die Web-Konsole ist anfällig für eine...

Insecurity Bulletin

Eine Cross-Site-Scripting-Schwachstelle in Adobe Flashplayer hat zur Folge, dass ein entfernter Angreifer dem ahnungslosen Browser-Anwender Javascript-Befehle unterschieben kann. Für den Anwender sieht es so aus, als kämen diese Anweisung von der Website, die er gerade besucht. Laut Adobe wird...

Insecurity Bulletin

Bei der Virtualisierung spielt Linux unter anderem mit KVM in der obersten Liga mit. Dabei verlässt sich der KVM-Anwender darauf, dass das Gastsystem ausschließlich innerhalb der virtuellen Maschine (VM) läuft und dem eigentlichen Host nichts anhaben kann. Dem ist aber nicht immer so, wie eine...

Insecurity Bulletin

Ruby on Rails ist ein Web Application Framework, das nach dem Prinzip "Don't Repeat Yourself" (DRY) arbeitet, und damit eine agile Softwareentwicklung ermöglicht. Basierend auf Ruby implementiert Rails eine Model-View-Controller-Architektur (MVC), wodurch sich sehr zügig bestimmte...

Insecurity Bulletin

Fetchmail ist ein Client-Programm, das E-Mails von POP3-, IMAP-, ETRN- (Extended Turn) oder ODMR- (On-Demand Mail Relay) -Servern herunterlädt. Dabei unterstützt die Software sichere Verbindungen per SSL/TLS durch Einsatz der OpenSSL-Bibliothek. Eine in diesem Zusammenhang aufgetretene...

Insecurity Bulletin

Der Cyrus Mailserver, ursprünglich entwickelt von der Carnegie Mellon Universität, ist ein verbreiteter Server zum Abwickeln von POP3 und IMAP. Einige Linux-Distributionen haben erst kürzlich Updates für eine schon einige Wochen alte Sicherheitslücke (CVE-2011-1926) herausgegeben. IMAP (Internet...

Insecurity Bulletin

Gimp (GNU Image Manipulation Program) ist ein populäres und ausgereiftes Bildverarbeitungsprogramm unter GPL-Lizenz. Mehrere Sicherheitslücken in der Anwendung ermöglichen es einem entfernten Angreifer, Befehle mit den Rechten des Anwenders auszuführen. Die meisten dieser Schwachstellen wurde...

Insecurity Bulletin

Asterisk macht es möglich, eine umfangreiche Telefonanlage mit Sprachdiensten, Verzeichnisdiensten und Telefonkonferenzen auf einem Rechner zu betreiben. Die Software unterstützt zahlreiche VoIP-Protokolle, beispielsweise InterAsterisk eXchange (IAX), das Session Initiation Protocol (SIP) und...

Insecurity Bulletin

Apache Archiva ist eine erweiterbare Repository-Management-Anwendung. Letzte Woche sind darin mehrere Schwachstellen bekannt geworden. Dank dieser wäre ein entfernter Angreifer in der Lage, Cross-Site-Scripting- und Cross-Site-Request-Forgery-Attacken durchzuführen. Cross-Site-Scripting (XSS)...

Insecurity Bulletin

Der Linux-Kernel ist die Zentraleinheit jedes Linux Systems. Programmierfehler dort erlauben meist lokalen Angreifern, Schaden anzurichten. Von manchen Fehlern können aber auch entfernte Angreifer profitieren, wie dieser Beitrag zeigt. Eine im Kernel kürzlich entdeckte Schwachstelle führt...

Insecurity Bulletin

AWStats ist ein verbreitetes Webanalyse-Programm, das Besucher-Statistiken für Webserver erzeugt. AWStats Totals heißt eine externe Erweiterung, die AWStats-Ausgaben auf einer Übersichtsseite zusammenfasst. In Versionen dieses PHP-Skripts bis 1.14, die teilweise noch im Betrieb sind, gibt es...

Insecurity Bulletin

BIND ist einer der am häufigsten eingesetzten Nameserver. Vor wenigen Tagen ist eine Sicherheitslücke publik geworden, die beim negativem Caching von DNSSEC-signierten Zonen auftritt. RFC 2308 spezifiziert zusätzlich zum DNS-Caching auch ein negatives DNS-Caching. Die Idee dahinter ist, dass...

Insecurity Bulletin

Firewalls sind aus der heutigen IT-Welt nicht mehr wegzudenken. Linux bietet mit Iptables eine sehr mächtige Umgebung zum Aufsetzen beliebiger Firewall-Regelsysteme. Sie verwendet das Framework Netfilter, in dem nun Programmierfehler entdeckt worden sind. Iptables benutzt Netfilter, um sich via...

Insecurity Bulletin

Postfix ist ein sehr verbreiteter SMTP-Server und wurde ursprünglich geschrieben, um Sendmail durch eine sicherere Software zu ersetzen. Bei der Verwendung mit der Cyrus-SASL-Bibliothek ist nun eine Sicherheitslücke aufgetreten. Das SMTP-Protokoll selbst ist in RFC 821 spezifiziert und enthält...

Nach oben