Eine Sicherheitslücke im Debian-Paket des minimalistischen PDF-Viewers Xpdf hat zur Folge, dass ein entfernter Angreifer Dateien mit den Rechten des Anwenders löschen und auch bestimmte Befehle ausführen kann. Debians Xpdf-Paket verwendet einen Skript-Wrapper, bevor das eigentliche Executable...

Das Tool Systemtap dient dazu, den Linux-Kernel und Anwendungen zu überwachen. Eine kürzlich entdeckte Schwachstelle erlaubt es einem Angreifer aus der Gruppe "stapusr", eigene Befehle einzuschleusen, die dann unter Umständen mit Kernel-Rechten ausgeführt werden. Systemtap-Anwender können...

Seitdem das HTTP-Protokoll aus dem CERN hervorging, ist die Zahl der HTTP-Server- und Client-Applikationen dramatisch angestiegen. Die Bibliothek Libsoup bietet ein einfaches auf GObject und Glib beruhendes Framework zum Entwickeln solcher Software. Eine vor wenigen Tagen korrigierte...

Clam Antivirus (AV) ist ein populäres freies Antivirenprogramm. Da es unter Linux praktische keine verbreiteten Viren oder Trojaner gibt, wird es meist eingesetzt, um Samba-Shares oder den Mailverkehr zu untersuchen. Eine inzwischen behobene Sicherheitslücke machte das Programm für...

“What about Sex?” the woman sitting across from me at the dinner table asked. I felt my face start to flush. She was about my age, and fairly attractive. I, of course, am unmarried, and therefore “available”. However, her husband was sitting next to me...... “She is afraid that these young...

WP E-Commerce ist ein Shopping-Cart-Plugin für Wordpress. Eine darin kürzlich entdeckte Sicherheitslücke hat zur Folge, dass ein entfernter Angreifer auf die SQL-Datenbank mit SQL-Injection zugreifen kann. Ein Exploit zum Auslesen von Benutzeraccounts wurde ebenfalls veröffentlicht. Der...

Ende Juni 2011 hat Marco Slaviero eine Sicherheitslücke in Red Hats Tool "system-config-firewall" gemeldet. Die Software bietet ein GUI zum Aufsetzen von Firewall-Regeln. System-config-firewall stellt auch ein D-Bus-Interface bereit. Das GUI nutzt diese Schnittstelle, um mit dem Backend zum...

Tiki Wiki (genauer Tiki Wiki CMS Groupware) ist ein Content Management System (CMS), das auf PHP, Adodb und Smarty basiert. Auf seiner Grundlage lässt sich eine Vielzahl von Webapplikationen umsetzen. Eine darin entdeckte Sicherheitslücke erlaubt es einem entfernten Angreifer,...

Das letzte Open-Source-Treffen vor der Sommerpause findet diesen Freitag, 22. Juli, im Café Netzwerk statt, bevor es dann im September weitergeht. kurzfristig freuen wir uns, im Café Netzwerk noch eine weitere Veranstaltung ankündigen zu dürfen: Am Mittwoch, den 27. Juli, ab 18 Uhr ist mit JB...

Mit jeder neuen Kernel-Release werden auch eine ganze Reihe von Sicherheitslücken im Kernel korrigiert. Das betraf vor kurzem eine Schwachstelle in der Bluetooth-Implementierung des Kernels, über die ein lokaler Angreifer Kernelspeicher auslesen konnte. Die verantwortlichen Programmierfehler...

Der VLC Mediaplayer ist ein funktionsreicher Medienabspieler, der zahlreiche Video- und Audio-Codecs und Dateiformate unterstützt. Zwei Sicherheitslücken in VLC haben zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken und eventuell Befehle mit den Rechten des VLC-Anwenders...

They are at it again. The closed source companies are attacking open source, using similar tactics that they always use. This time they are using “associations of professionals” (sometimes called "lobbyists") to declare that Open Source is a failure in the software marketplace. They started in...

Diesen Freitag, 22. Juli, feiern die Open-Source-Treffen in München ihren zweiten Geburtstag. Am 24. Juli 2009 fand die erste Veranstaltung im Café Netzwerk statt, und mittlerweile können wir, nach über 20 Veranstaltungen und mehr als 50 Vorträgen, auf ein treues Stammpublikum zurückblicken. ...

Squirrelmail ist eine in PHP programmierte Weboberfläche für E-Mail-Kommunikation. Die Software benötigt lediglich PHP auf dem Webserver und lässt sich über verschiedene Plugins erweitert werden. Aufgrund eines Programmierfehlers in den Routinen zum Verarbeiten von HTML-MIME-Daten ist ein...

Digitale Signaturen spielen heute insbesondere bei Web-Applikationen eine große Rolle. Darum hat das W3C (World Wide Web Consortium) schon vor längerer Zeit eine Arbeitsgruppe zu XML-Signaturen eingesetzt. Die dort spezifizierten Standards werden vom Projekt Apache Santuario als Java- und C++...

Der Very Secure FTP Daemon (Vsftpd) ist ein freier FTP-Server, der besonderen Wert auf eine sichere Programmierung legt, um Schwachstellen so gut wie möglich zu vermeiden. Aber auch das beste Software-Design bringt nichts, wenn die Quellen auf dem Download-Server von einer Backdoor unterwandert...

Kerberos ist ein umfangreiches Authentifzierungsystem, das am MIT entwickelt wurde und frei zugänglich ist. Es umfasst auch einen FTP-Server, in dessen Code eine Sicherheitslücke entdeckt worden ist. Sie ermöglicht es es einem entfernten Angreifer mit gültigem FTP-Account, höhere Gruppenrechte...

OpenSSH ist die freie Implementierung des SSH-Protokolls, das in seiner kommerziellen Version von SSH Communications Security als SSH Tectia vertrieben wird. Vor einer Woche wurde ein Remote-Root-Exploit für eine veraltete OpenSSH/FreeBSD-Version veröffentlicht. Aufgrund der Brisanz von...

D-Bus dient der Inter-Prozess-Kommunikation (IPC) zwischen Desktopanwendungen und ist der Nachfolger von DCOP (Desktop Communication Protocol) für KDE und CORBA (Common Object Request Broker Architecture) für Gnome. D-Bus-Nachrichten sind gewöhnlich binär in nativer Byte-Order kodiert, also...