In Google Chrome sind kürzlich mehrere Schwachstelle korrigiert worden. Ein entfernter Angreifer wäre durch die Sicherheitslücken in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Die Attacken sind durch geschickt konstruierte Websites möglich. Im Einzelnen handelt es sich um die...
Das Linux-Magazin stellt das derzeit einzige deutschsprachige Buch zu Stufe 3 der LPI-Zertifizierung vor. Der zweite Titel möchte Programmierer für das Thema Sicherheit sensibilisieren.
Eine Sicherheitslücke im Verschlüsselungs-Feature von Kerberos hat zur Folge, dass ein entfernter Angreifer Befehle mit Root-Rechten ausführen kann. Die Attacke lässt sich ohne Authentifizierung durchführen und wird laut offiziellem Advisory derzeit aktiv ausgenutzt. Der Programmierfehler...
Paket-Déjà -vu 12/2008, S. 102: Ich hatte neulich ein Déjà -vu-Erlebnis in Bezug auf Tobias Eggendorfers Artikel "Wie DHL Kundendaten preisgibt": Ich bekam von DPD eine Sendung zugestellt. Eigentlich sollte die aus zwei Teilen bestehen, es kam aber nur ein Paket an. Die Paketschein-Nummer für das...
Der neue Personalausweis NPA spaltet Anwender und Experten in Deutschland: Einige preisen die hohe Sicherheit für jeden Bürger, andere befürchten Überwachung und Fälschbarkeit. Bei genauem Hinsehen fangen die Probleme jedoch bereits viel früher an. Manche Installationsroutine hat eine Leiche im...
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an redaktion@linux-magazin.de. Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit Namen, sofern der Autor nicht ausdrücklich...
Inn gewisser Weise passt der folgende Beitrag zum Schwerpunkt dieser Magazins-Ausgabe, demonstriert er doch am lebenden Webapplikations-Objekt die Verwundbarkeit einer Datenbank.
Auf dem Chaos Communication Congress (28C3) Ende Dezember 2011 haben Alexander Klink und Julian Wälde eine Schwachstelle (Advisory als PDF) in den Hash-Funktionen zahlreicher Programmiersprachen beschrieben. Auch wenn die dargestellte Problematik und daraus resultierende Attacken nichts Neues...
Suricata, das wachsame Erdmännchen, heißt eine freie Software für die Intrusion Detection, die unter anderem von einer Stiftung des Homeland Security Department getragen wird. Die Snort-Alternative nutzt die GPU via Cuda, um auch in schnellen Netzen der herannahenden Daten Herr zu...
Die Reihe "Insecurity Bulletin" widmet sich Sicherheitsproblemen in Linux und Open-Source-Software. Dabei dienen aktuelle Schwachstellen als Anschauungsmaterial. In dieser Folge geht es um ein großes Sicherheitsloch, das ein kleines Hilfsprogramm in die E-Book-Anwendung Calibre gerissen hat.
Eine Sicherheitslücke in der PRC-Komponente von Acrobat und Adobe Reader hat zur Folge, dass ein entfernter Angreifer Befehle mit den Rechten des Anwenders ausführen kann. Eine Attacke ist mit Hilfe einer geschickt konstruierten PDF-Datei möglich. Diese löst dann einen Fehler im...
Der Linux-Kernel bietet Lese- und Schreibzugriff auf HFS-Dateisysteme. Eine Sicherheitslücke in der Linux-Implementierung von HFS hat zur Folge, dass ein Angreifer Befehle mit Root-Rechten ausführen kann. Das Hierarchical File System (HFS) ist ein Dateisystem, das Apple für Mac OS entwickelt...
Der Security-Support für die Debian-Release 5.0 alias Lenny endet Anfang Februar 2012.
Die Bibliothek Libarchive ermöglicht es, verschiedene Streaming-Archiv-Formate zu lesen und zu schreiben. Die Libarchive-Entwickler haben einige Sicherheitslücken behoben. Im Einzelnen handelt es sich um die folgenden Schwachstellen: (1) Buffer-Overflow-Schwachstelle beim Lesen von...
Der freie Webserver Lighttpd arbeitet ressourcenschonend und punktet vor allem bei parallelem Zugriff auf große Dateien gegenüber Apache. Youtube beispielsweise setzt eine modifizierte Lighttpd-Variante ein. Eine kürzlich entdeckte Sicherheitslücke hat zur Folge, dass ein entfernter Angreifer...
