Der Superserver Xinetd ist der um zahlreiche Sicherheitsfeatures erweiterte Nachfolger des Daemons Inetd. Seine Hauptaufgabe besteht darin, auf bestimmten Netzwerkports nach Verbindungen zu lauschen. Sollte eine solche Verbindung aufgebaut werden so startet Xinetd das passende Serverprogramm....

Das Horde-Team hat kürzlich Version 5.0.21 des Internet Mail Programms (IMP) veröffentlicht. Darin enthalten ist auch ein Patch für eine Cross-Site-Scripting-Schwachstelle. Diese erlaubte es einem entfernten Angreifer unter anderem, an Benutzer-Cookies zu gelangen und Aktionen unter dem Namen...

Google hat kürzlich mehrere Schwachstellen im Webbrowser Chrome korrigiert.Ein entfernter Angreifer war durch Programmierfehler in Chrome in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Unter anderem wurden folgende Probleme behoben: Fehler im Speichermanagement (CVE-2011-3078,...

Eine Sicherheitslücke in Samba hat zur Folge, dass ein entfernter angemeldeter Angreifer Samba Benutzerrechte auf dem Server manipulieren kann (Linux-Magazin Online berichtete) Das Problem besteht darin, dass Sicherheitsabfragen für verschiedene RPC-Aufrufe nicht korrekt durchgeführt werden....

In den letzten Wochen hab ich mich vermehrt mit Voice over IP beschäftigt, vor allem vor dem Hintergrund, dass ich durch mein Engagement für LibreOffice viel ins Ausland telefonieren muss und auch für Freunde aus dem Ausland gerne zu günstigen Tarifen erreichbar sein möchte. Da der ein oder...

Eine Sicherheitslücke in Net-snmp hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken gegen Net-snmp-Agenten durchführen kann. Das Simple Network Management Protocol (SNMP) ist ein schon rechtes altes Protokoll, das zum Überwachen verschiedenster Netzwerkkomponenten wie...

Mozilla hat zahlreiche Schwachstellen in Firefox, Thunderbird und Seamonkey korrigiert. Die nun geschlossenen Sicherheitslücken erlaubten es einem entfernten Angreifer, Befehle mit den Rechten des Anwenders auszuführen und an sensible Informationen zu gelangen. Außerdem war möglich, verschiedene...

Viel zu lang ist er her, mein letzter Blogbeitrag, und eigentlich wollte ich zur Abwechslung diesmal zu einem anderen Thema als LibreOffice schreiben. Doch die große Resonanz, die es zu meinem CeBIT-Vortrag gab (Video | Folien) hat mich vom Gegenteil überzeugt. ;-) Am 17. Februar dieses Jahres...

The Titanic is probably the most discussed ship of all times. On the 100th anniversary of its sinking I went to see the 1953 classic movie “Titanic” with Clifton Web, Barbara Stanwyck and a very young Robert Wagner at our local “arts” theater, the Wilton Town Hall Theater. The movie was free...

Eine Sicherheitslücke in den ASN.1-Routinen von OpenSSL führt dazu, dass ein entfernter Angreifer Befehle mit den Rechten der Anwendung ausführen kann. Ursache ist ein Programmierfehler in der Funktion "asn1_d2i_read_bio()", der dazu führt, dass der Angreifer einen Heap Overflow provozieren...

Ein Buffer-Overflow-Fehler im Network Data Representation (NDR) Marshalling Code in Samba hat zur Folge, dass ein Angreifer Befehle mit Root-Rechten ausführen kann. Ein Angriff ist über einen geschickt konstruierten Remote Procedure Call (RPC) möglich. Die Schwachstelle kann ohne...

Eine Sicherheitslücke in der TIFF-Bibliothek hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Eine Attacke ist durch geschickt konstruierte TIFF-Bilddateien möglich. Die Schwachstelle befindet sich in der Datei "libtiff/tiff_getimage.c". Hier...

Kürzlich sind im Paketmanager RPM mehrere Sicherheitslücken korrigiert worden. Diese hatten zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen konnte. Attacken sind über speziell präparierte RPM-Dateien möglich. Die folgenden Funktionen waren fehlerhaft und...

Invision Power Board ist ein Webforen-System, das auf PHP mit Anbindung an eine MySQL-, MS-SQL- oder Oracle-Datenbank basiert. Kürzlich ist eine Sicherheitslücke in dem Programm bekannt geworden, über die ein entfernter Angreifer Cross-Site-Scripting-Attacken durchführen kann....

Google hat mehrere Sicherheitslücken im Chrome-Browser geschlossen. Ein Angreifer war zuvor in der Lage, Befehle mit den Rechten des Anwenders und Cross-Site-Scripting-Attacken durchzuführen. Die Attacken erfolgen über speziell konstruierte Webseiten. Unter anderem wurden folgende...

Die "libraptor"- und "librdf"-Bibliotheken stellen einfache C-APIs zum Verarbeiten von Resource Description Framework (RDF) Triples bereit. Unterstütze Syntax-Formate sind beispielsweise RDF/XML, N-Quads, N-Triples, RSS und noch einige mehr. "libraptor" ist eine Komponente von "librdf" und...

Format-String-Fehler waren vor mehr als zehn Jahren weit verbreitet. Heute sind sie weitestgehend aus den Schwachstellen-Statistiken verschwunden. Dies liegt vor allem daran, dass Programmierer wesentliche mehr darauf achten, solche Fehler zu vermeiden. Ein weiterer Grund für die Besserung...

Mozilla hat mehrere Sicherheitslücken in Firefox, Seamonkey und Thunderbird korrigiert. Durch einige dieser Schwachstellen war ein entfernter Angreifer in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Daneben waren auch Cross-Site-Scripting-Attacken möglich. Die Angriffe sind über...

Wie das IT-Sicherheitsunternehmen LSE vor kurzem meldete, findet sich eine kritische Sicherheitslücke in den PAM Python Bindings (PyPam). Laut Advisory ist ein entfernter Angreifer dadurch in der Lage, Befehle mit höheren Rechten auszuführen. PyPam kommt häufig zum Einsatz, da es im Vergleich...