Das Insecurity Bulletin widmet sich aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. Sie können das Bulletin per RSS-Feed abonnieren.

Insecurity Bulletin

Insecurity Bulletin

Eine Sicherheitslücke in der Bibliothek GLibc führt dazu, dass ein lokaler Angreifer Denial-of-Service-Attacken ausführen kann. Der Programmierfehler befindet sich in der Implementierung der Funktion "getaddrinfo()". Hier kann der Angreifer durch geschickte Anfragen einen Stack Overflow...

Insecurity Bulletin

Eine Sicherheitslücke in der OS-Commerce-Applikation hat zur Folge, dass ein entfernter Angreifer einen neuen Administrator-Account anlegen kann. Hiermit ist er dann in der Lage, das System zu manipulieren. Eine weitere Schwachstelle führt dazu, dass ein entfernter Angreifer auch...

Insecurity Bulletin

Eine Sicherheitslücke in der Bibliothek Libtar hat zur Folge, dass ein lokaler Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Ursache ist ein Integer-Overflow-Fehler in der Quelltextdatei "lib/block.c" Der Programmierfehler befindet sich in mehreren Zeilen der Funktion...

Insecurity Bulletin

Eine Sicherheitslücke in der Fax-Software Hylafax+ hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Dienstes "hfaxd" ausführen kann. Dabei handelt es sich gewöhnlich um die Berechtigungen des Systemkontos "uucp". Das Problem tritt nur auf Systemen mit Unterstützung für...

Insecurity Bulletin

Eine Sicherheitslücke im FTP-Server ProFTPD hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken gegen SFTP durchführen kann. Der Overflow befindet sich in der Quelltextdatei "mod_sftp/kbdint.c": resp_count = sftp_msg_read_int(pkt->pool, &buf, &buflen); list =...

Insecurity Bulletin

Eine Sicherheitslücke im Django Authentication Framework hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken gegen das System durchführen kann. Das Framework "django.contrib.auth" speichert, wie viele andere Anmeldesysteme auch, einen Hash von Benutzerpasswörtern. Gibt ein...

Insecurity Bulletin

Die Blog-Software Wordpress wurde am 11. September in Version 3.6.1 veröffentlicht. Die Release enthält zahlreiche Sicherheitspatches, die Sicherheitslöcher älterer Versionen schließen. Durch diese Schwachstellen konnten entfernte Angreifer unter anderem Befehle mit höheren Rechten auf dem...

Insecurity Bulletin

Eine Sicherheitslücke im Linux-Kernel hat zur Folge, dass ein entfernter Angreifer Root-Rechte auf einem System erlangen kann. Das besondere an dieser Angriffsmöglichkeit besteht darin, dass sie sich durch das Anschließen speziell präparierter USB-Geräte ausnutzen lässt. Die Ursache liegt in...

Insecurity Bulletin

Ein Integer-Overflow-Fehler in der Bibliothek Libtiff hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Ursache ist ein Programmierfehler in der Implementierung der Funktion "TIFFOpen()". Die Attacke basiert auf mehreren "TIFFOpen()"-Aufrufen,...

Insecurity Bulletin

Eine Sicherheitslücke in dem MySQL-Installationsskript von Debian und Ubuntu hat zur Folge, dass ein lokaler Angreifer eventuell an die Accountdaten des »debian-sys-maint«-MySQL-Benutzers gelangt. Mit diesem Account kann der Angreifer anschließend die Datenbank mit Administratorrechten...

Insecurity Bulletin

Der Samba-Entwickler Jeremy Allison (Google) hat eine Sicherheitslücke im Samba-Server ("smbd") gemeldet. Diese hat zur Folge, dass ein entfernter, angemeldeter Angreifer den Samba-Dienst zum Absturz bringen kann. Ursache ist ein Programmierfehler, der es dem Angreifer durch spezielle Eingaben...

Insecurity Bulletin

Eine Sicherheitslücke im proprietären Monitoring- und Reporting-Tool Splunk hat zur Folge, dass ein entfernter Angreifer Clickjacking-Attacken durchführen kann. Beim Clickjacking überlagert der Angreifer die Darstellung einer Webseite und veranlasst Nutzer dazu, mit scheinbar harmlosen...

Insecurity Bulletin

Eine Sicherheitslücke in dem Samsung-Fernsehgerät Modell PS50C7700 hat zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann. Damit ist er in der Lage, den Fernseher zum Absturz zu bringen und zu rebooten. Die Attacke ist durch das Senden spezieller Daten an den...

Insecurity Bulletin

Eine Sicherheitslücke in Red Hats Enterprise-Produkt MRG (Messaging, Realtime, Grid) hat zur Folge, dass ein entfernter Angreifer möglicherweise an sensible Informationen gelangen kann. Bei MRG handelt es sich um eine IT-Infrastrukturlösung, die für Enterprise Computing ausgelegt ist und...

Nach oben