Bitweaver ist ein auf PHP und MySQL basierendes Web-Content-Management-System (CMS), welches ein Fork von Tiki ist. Design und Layout lassen sich über die integrierte Template-Engine Smarty anpassen. In der Bitweaver-Applikation sind mehrere Schwachstellen entdeckt worden, über die ein...
2003 als Security Infrastructure Monitor gestartet und jüngst in Version 4.0 freigegeben, ist OSSIM unter Open-Source-Werkzeugen fürs Security Information and Event Management (SIEM) eine beliebte Wahl. Vergleichsweise günstig, leisten sich aber sowohl die freie als auch die kommerzielle Version...
In der International Organization for Standardization (ISO) hat das Joint Technical Committee ISO/IEC JTC 1 für Informationstechnologie, Subcommittee SC 27, IT Security Techniques einen neuen Standard mit dem Titel "Information technology -- Security techniques -- Guidelines for cybersecurity"...
Eine Sicherheitslücke in Wordpress hat zur Folge, dass ein entfernter Angreifer Attacken des Typs Cross-Site Request Forgery (CSRF/XSRF) ausführen kann. Damit ist er in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Handelt es sich dabei um einen angemeldeten Administrator, so...
Der kommende Kernel 3.6 beschränkt das Anlegen von harten und symbolischen Links und behebt damit eine ganze Klasse von Sicherheitslücken.
Eine Sicherheitslücke im Linux-Kernel hat zur Folge, dass ein lokaler Angreifer unberechtigt an Speicherbereiche des Kernel- und Userspace gelangen kann. Ursache ist eine Schwachstelle beim Behandeln von RDS Sockets. RDS steht für Reliable Datagram Sockets, ein von Oracle entwickeltes...
Ein Download-Mirror des Sourceforge-Netzwerks hat in den vergangenen Tagen die Software PhpMyAdmin in einer mit einer Backdoor versehenen Version verteilt.
Mcrypt ist der Nachfolger des Crypt-Befehls von Unix, ein einfaches Kommandozeilentool zum Verschlüsseln von Dateien mit verschiedenen Algorithmen. Eine Anfang des Monats entdeckte Sicherheitslücke in Mcrypt hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders...
Eine Sicherheitslücke in Ghostscript hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Die Attacke ist durch speziell präparierte Postscript- oder PDF-Dateien mit eingebundenen Bildern möglich. Beim Laden werden die vom Angreifer gewünschten...
In der Anwendung Webmin sind mehrere Sicherheitslücken entdeckt worden. Über diese ist ein entfernter angemeldeter Angreifer in der Lage, Befehle mit höheren Berechtigungen auszuführen. Zudem ist ein entfernter Angreifer in der Lage, Dateien mit Root-Rechten einzusehen. Verantwortlich hierfür...
Qubes OS, das Betriebssystem der Security-Forscherin Joanna Rutkowska, ist in Version 1.0 erhältlich.
Eigentlich wollte der Autor nur seinen neu gekauften Switch von Linux aus konfigurieren. Dabei stieß er auf eine hanebüchene Sicherheitslücke in der Firmware sowie im Managementprotokoll des Geräts. Der Hersteller hat es offenbar nicht besonders eilig, den Mangel zu beheben.
Rootkits ermöglichen es Angreifern, einen Rechner komplett zu kontrollieren. Dieser Beitrag beschreibt die Tricks, mit denen sich Eindringlinge Zugang zum Linux-Kern verschaffen. Daneben gibt er eine Anleitung, wie man den Kernel gegen solche Angriffe härtet.
Wer unbedacht IPv6 in seinem Netzwerk aktiviert hat und dabei grundlegende Sicherheitsfragen außer Acht lässt, öffnet Angreifern Tür und Tor. Dieser Workshop zeigt einen erfolgreichen Einbruch via IPv6 auf einen Server und erläutert, wie die gängigen...
Der proprietäre Linux-Treiber für einige Nvidia-Grafikkarten lässt sich ausnutzen, um Befehle mit Rootrechten auszuführen. Wie ein lokaler Angreifer das anstellen könnte, demonstriert der hier vorgestellte Exploit, den ein anonymer Programmierer im August in Umlauf brachte.
