Die TWiki-Skripte rdiff und preview weisen Sicherheitslücken auf, die es einem Angreifer ermöglichenuch Wiki-Inhalte auszulesen, die für eigentlich nicht zugänglich sein dürften. Fehlerbereinigte Software steht jetzt zur Verfügung.

Der 'winbindd' Daemon von Samba schreibt das Passwort von Maschinenkonten im Klartext in Logdateien, die standardmäßig für alle Benutzer lesbar sind. Fehlerbereinigte Software steht jetzt zur Verfügung.

In den Programmen 'vmd', 'bpdbm' und 'bpspserver' von Veritas NetBackup Master, Media Server und Clients wurden mehrere Pufferüberläufe gefunden. Ein Angreifer kann beliebigen Code mit erhöhren Rechten auf den betreffenden Systemen ausführen. Fehlerbereinigte Software steht jetzt zur Verfügung.

In NetBSD wurden mehrere Sicherheitslücken in 'racoon', 'pf', 'mail' und im Kernel gefunden. Patches stehen jetzt zur Verfügung.

Eine Sicherheitslücke in "/usr/ucb/ps" (siehe ps(1B)) ermöglicht es einem lokalen Benutzer, die Umgebungsvariablen der Prozesse anderer Benutzer einzusehen. Ein Patch behebt dieses Problem.

Eine Sicherheitslücke im rsh(1) Programm des Sun Grid Engine ermöglicht es einem lokalen Benutzer Systemrechte zu erlangen. Fehlerbereinigte Software steht jetzt zur Verfügung.

Mehrere Sicherheitslücken in PHP ermöglichen es einem Angreifer über das Netzwerk, 'safe_mode' und 'open_basedir' Einschränkungen durch Fehler in 'ext/curl' und 'ext/gd' zu umgehen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

'pstopnm', ein Konverter von Postscript ins PBM, PGM und PNM Format, ruft Ghostscript auf unsichere Art und Weise auf. Eine bösartig konstruierte Postscriptdatei kann beliebige Shell Kommandos ausführen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Eine Sicherheitslücke in FreeRADIUS ermöglicht es einem Angreifer, die Authentifizierung zu umgehen oder den Prozess zum Absturz zu bringen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

'flex', ein Generator für Scanner, erzeugt Code, der nicht genügend Speicher alloziert, fass eine Grammatik REJECT Anweisungen oder "Trailing Context" Regeln aufweist. Dies führt zu einem Pufferüberlauf. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In Programm 'swagentd' von HP-UX wurde eine Sicherheitslücke gefunden. Ein Angreifer kann über das Netzwerk den 'swagentd' Prozess zum Absturz bringen und so einen Denial-of-Service Zustand herbeiführen. HP stellt nun Patches zur Verfügung.

Der Microsoft Internet Explorer zeigt eine Schwachstelle, die bereits von Webservern im Internet ausgenutzt wird. Sie bietet die Möglichkeit, über das Netzwerk beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Ein Hotfix steht derzeit noch nicht zur Verfügung. Als Workaround wird empfohlen, den Internet Explorer so zu konfigurieren, dass Active Scripting erst nach einer Aufforderung ausgeführt wird.

In 'xpdf' wurden mehrere Sicherheitslücken durch Pufferüberläufe gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In mehreren Produkten von Internet Security Systems (ISS) lässt sich eine Designschwäche ausnutzen, durch die sich ein lokalen Benutzer Systemrechte verschaffen kann. Betroffen sind BlackICE PC Protection, BlackICE Server Protection, BlackICE Agent for Server und RealSecure Desktop.

Eine Sicherheitslücke in FreeRADIUS ermöglicht es einem Angreifer, die Authentifizierung zu umgehen oder den Prozess zum Absturz zu bringen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In RealNetworks 'RealPlayer' und 'HelixPlayer' wurde ein Pufferüberlauf bei der Verarbeitung von Flash Media (.swf) Dateien gefunden. Eine bösartig konstruierte Flash Media Datei kann beliebigen Code mit den Rechten des Benutzers von RealPlayer ausführen. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'evolution', einer Groupwarelösung, wurden mehrere Format String Fehler gefunden, die zum Absturz der Applikation oder zur Ausführung von Schadcode führen können.
Im Linux Kernel 2.6 und 2.4 wurden eine ganze Reihe von Sicherheitslücken gefunden.
Auch 'koffice' ist von Sicherheitslücken betroffen, die in 'xpdf' gefunden wurden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Ein Fehler bei der Überprüfung der Sequenznummern von IPSec Paketen in der Funktion fast_ipsec(4) ermöglicht es einem Angreifer, IPSec Pakete abzufangen und zu wiederholen. Wenn höhere Protokollschichten keinen Schutz gegen verviefachte Paket bieten (z.B. UDP) können verschiedene Probleme auftauchen.
Eine Sicherheitslücke in opiepasswd(1) ermöglicht es einem lokalen Benutzer die OPIE Authentifizierung für den Benutzer Root zu konfigurieren.
Patches stehen jetzt zur Verfügung.

Im Linux Kernel 2.6 wurden verschiedene Schwachstellen gefunden, die jetzt mit einem Kernel-Update behoben werden können.

In 'firebird2', einem RDBMS, das auf InterBase 6.0 Code basiert, wurde ein Pufferüberlauf gefunden, der es einem Angreifer über das Netzwerk ermöglicht, den Dienst zum Absturz zu bringen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im SMTP Server 'Sendmail' wurde ein Fehler in der Behandlung asynchroner Signale gefunden. Ein Angreifer kann über das Netzwerk u.U. eine Race-Condition ausnutzen und beliebigen Code mit den Rechten von 'Sendmail' (typischerweise Root) ausführen. Fehlerbereinigte Software steht jetzt zur Verfügung.

Sicherheitslücken im X.Org X Server ermöglichen es einem lokalen Angreifer, Root Rechte zu erlangen, wenn der Server mit SUID Root Rechten installiert ist. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'vserver' Support von Debian GNU/Linux wurden zwei Sicherheitslücken gefunden.
In der Behandlung von Dateinamen durch 'unzip' wurde ein Pufferüberlauf gefunden. Ein bösartig konstruiertes ZIP Archiv kann beliebigen Code mit den Rechten eines Benutzers von 'unzip' ausführen.
'snmptrapfmt', eine Routine von 'snmpd' zur Verarbeitung von SNMP Traps, enthält einen Fehler beim Schreiben in temporäre Logdateien.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

IBM hat TechNotes und Updates veröffentlicht für 'Tivoli Directory Server', 'Tivoli Identity Manager' und 'Websphere Application Server' zur Vermeidung von denial-of-service Attacken, Herausgabe irreführender Informationen und verringerter Sicherheit.

In 'IlohaMail' (einem schlanken mehrsprachigigem web-basierenden IMAP/POP3 Client) wurde einige cross-site scripting (XSS) Verwundbarkeiten gefunden, welche Angreifern über Netz erlauben, beliebige Web-Skripte oder HTML via e-mail-Body, Dateinamen oder MIME-Typen einzuschleusen.
Ein überarbeitetes Paket behebt die genannten Probleme.

Einige Versionen von 'usermod' verhalten sich unerwartet, wenn bestimmte Optionen kombiniert werden. Dabei wird rekursiv der Benutzer von Verzeichnissen und Dateien unter dem Home-Verzeichnis eines Benutzers geändert. Dies kann zu unauthorisierten Zugriff auf diese Verzeichnisse und Dateien führen.
Einige schon länger bekannte gravierenden Sichereitslücken (mod_ssl, proxy_http) wurden im 'Apache 2' Webserver nun gefixt.
Ein auf 'VirtualVault' 4.5 bis 4.7 aktiver 'Apache 1.x' erlaubt HTTP-Request Aufsplittungs-/Verschleierungs-Attacken, was in unauthorisertem Zugriff über Netz führen kann.
HP stellt nun Patches zur Verfügung.

'Xorg' Versionen seit 6.9.0 haben einen Fehler in xf86Init.c, der für local-root-Exploits verwendet werden kann.
Ein Problem in 'cairo', benutzt von GNOME 'evolution', kann zu einem ständigen Crash des Clients führen, was die Möglichkeit zu einem von der Ferne auszulösenden Denial-of-Service gibt.
Fehlerbereinigte Pakete beheben dieses Problem.

Eine Format-String-Verwundbarkeit wurde im Job-Log in BENGINE.exe des Backup Exec Media Servers gefunden. Ein bösartiger Benutzer kann beliebigen Code auf dem System ausführen, auf dem der Media Server aktiv ist.
Patches stehen für folgende problembehafteten Versionen zur Verfügung: Backup Exec für Windows Servers 9.1, 10.0, 10.1

Im FTP Server 'wzdftp' wurde ein Fehler bei der Überprüfung von Argumenten des SITE Befehls gefunden, der es ermöglicht beliebige Shell Kommandos auszuführen.
In 'crosssfire', einem Multiplayer Adventure Spiel, wurde ein Pufferüberlauf gefunden, durch den ein Angreifer über das Netzwerk beliebigen Code ausführen kann.
Überarbeitete Pakete beheben die genannten Probleme.

Diverse Sicherheitsprobleme in CoreTypes, Mail und Safari werden mit dem jetzt verfügbaren Security Update 2006-002 behoben.

Drupal, eine Software für Content Management und Online-Diskussionen, zeigt verschiedene Schwachstellen. Aufgrund einer nicht ausreichenden Überprüfung von Eingaben kann ein Angreifer Header in ausgehende E-Mails einfügen, so dass Drupal als Proxy für Spam missbraucht werden kann. Ebenfalls eine nicht ausreichende Überprüfung von Eingaben sorgt dafür, dass Angreifer beliebige Web-Skripte oder auch HTML-Code injizieren können. Menüteile, die mit menu.module angelegt worden sind, bieten ebenfalls aufgrund nicht ausreichender Überprüfung von Eingaben die Möglichkeit, administrative Rechte zu erlangen. Schliesslich können Angreifer aufgrund eines Fehlers in der sog. Session Fixation auch die Rechte normaler Benutzer von Drupal erhalten.
Ein bereits früher veröffentlichter Patch für kpdf, dem PDF-Viewer für KDE, hat nicht wie erwartet alle Probleme behoben - es sind weiterhin Pufferüberläufe möglich, durch die ein Angreifer beliebigen Code zur Ausführung bringen kann.
Überarbeitete Pakete beheben die genannten Probleme.

In den Paketen 'OpenSSH', 'vim' und 'XORGServer' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

'xpvm', ein grafischen Konsolen- und Monitorprogramm für PVM, erzeugt temporäre Dateien auf unsichere Art und Weise.
Bösartig konstruierte PNG Bilder können eine Heap-Überlauf in der Bibliothek 'libavcodec' von 'ffmpeg' hervorrufen und Angreifer damit beliebigen Code zur Ausführung bringen. Von diesem Problem sind auch der Media Player 'vlc' und die Bibliothek 'xine-lib' betroffen.
Fehlerbereinigte Software steht jetzt zur Verfügung.

'initscripts' behandelt Umgebungsvariablen auf unsichere Art und Weise, wenn /sbin/service ausgeführt wird. Ein lokaler Benutzer, der /sbin/service über sudo ausführt, kann beliebige Kommandos mit Root-Rechten ausführen.
'Squid' weist eine Sicherheitslücke bei der NTLM Authentifizierung auf, die zum Absturz de Squid Servers führen kann.
Ein Fehler in 'vixie-cron' ermöglicht lokalen Angreifern, den Inhalt der crontab Dateien anderer Benutzer einzusehen.
Im Linux Kernel wurden mehrere Sicherheitslücken gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'webcalendar', einer Mehrbenutzer-Kalenderapplikation in PHP, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In den Microsoftprodukten Office 2000, XP und 2003 wurden sechs Sicherheitslücken gefunden, die als "Critical" gekennzeichnet sind. Bösartig manipulierte Office-Dokumente können eingebetteten Schadcode zur Ausführung bringen, wenn sie geöffnet werden. Microsoft hat jetzt entsprechende Patches veröffentlicht.

Fär einige Services in Windows XP SP1 und Windows Server 2003 sind zu freizügige Berechtigungen konfiguriert. Ein lokaler Benutzer des Systems kann sich unter Umständen erweiterte Rechte verschaffen. Microsoft hat jetzt entsprechende Patches veröffentlicht.

In den Bibliotheken 'libpcre', 'libwww' und 'libcurl' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Flash Player wurden mehrere kritische Sicherheitslücken entdeckt, die es einem Angreifer ermöglichen, eigenen Code auf dem betroffenen System auszuführen, wenn ein bösartig konstruiertes SWF im Flash Player geladen wird. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'crosssfire', einem Multiplayer Adventure Spiel, wurde eine Sicherheitslücke im "oldsocketsmode" gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Das Spiel 'bomberclone' weist eine Sicherheitslücke auf, die es einem Angreifer über das Netzwerk ermöglicht, beliebigen Code auszuführen.
Mehrere Sicherheitslücken in 'xpdf' sind auch in 'libextractor', einer Bibliothek zum Extrahieren von Matadaten aus Dateien, vorhanden.
In 'lurker', einem Archivierungsprogramm für Mailinglisten mi integrierter Suchfunktion, wurden mehrere Sicherheitslücken gefunden.
Die Perl Bibliothek 'Apache2::Request' weist eine Schwachstelle auf, die es einem Angreifer über das Netzwerk ermöglicht die zur Verfügung stehende CPU Zeit aufzubrauchen.
Fehlerbereinigte Software steht jetzt zur Verfügung.

SGI hat jetzt für sein SGI Advanced Linux Environment 3 das Security Update #55 veröffentlicht. Hierdurch werden sicherheitsrelevante Probleme in den Paketen ImageMagick, bzip2, and tar behoben. Es wird empfohlen, dieses Update zu installieren.

Bösartig konstruierte PNG Bilder können einen Heap-Überlauf in der Bibliothek 'libavcodec' von 'ffmpeg' hervorrufen und damit beliebigen Code ausführen.
In der 'civserver' Komponente des Spiels 'freeciv' wurde die Möglichkeit zu einem Denial-of-Service Angriff gefunden.
In Metamail wurde ein Pufferüberlauf bei der Verarbeitung bestimmter Nachrichten gefunden. Ein Angreifer kann eine bösartig konstruierte Nachricht senden, die beliebigen Code mit den Rechten des Benutzers von Metamail ausführt.
Das Crypt::CBC Perl Modul produziert schwachen Geheimtext, wenn eine Blockverschlüsselung mit einer Blockgröße >8 Byte verwendet wird.
Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'bluez-hcidump', einem Utility zur Analyse von Bluetooth HCI Paketen, wurde die Möglichkeit zu Denial-of-Service Angriffen gefudnen, die aus der Ferne ausgelöst werden kann.
In 'zoo', einem Programm zur Verarbeitung von zoo Archiven, wurde ein Pufferüberlauf gefunden, der zur Ausführung von beliebigem Code führen kann, wenn ein bösartig konstruiertes zoo Archiv entpackt wird.
Fehlerbereinigte Software steht jetzt zur Verfügung.

Das Programm GNU Privacy Guard (GPG) erlaubt es Nachrichten so zu konstruieren, dass "--verify" eine korrekte Signatur meldet, trotzdem aber durch "-o --batch" ein anderer als der überprüfte Inhalt extrahiert wird. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

'zoph', ein webbasiertes Foto Managementsystem, bereinigt Benutzereingaben bei Fotosuchen nur ungenügend. Ein SQL Injection Angriff ermöglicht das Ausführen von SQL Kommandos. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der PCRE Bibliothek von Python wurde ein integerüberlauf gefunden, der durch bösartig konstruierte reguläre Ausdrücke ausgelöst werden kann. Auf Systemen, die beliebige reguläre Ausdrücke in Benutzereigaben annehmen, kann beliebiger Code mit den Rechten des betroffenen Programms ausgeführt werden.
Ein früherer Patch für 'kpdf' war unvollständig. Bösartig konstruierte PDF Dateien können 'kpdf' zum Absturz bringen oder beliebigen Code ausführen.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Die Sybase SQLAnywhere Database, die mit Symantec Ghost und der Central Management Console der Symantec Ghost Solutions Suite (SGSS) installiert wird, ist von drei Sicherheitslücken betroffen. Ein nicht autorisierter lokaler Benutzer kann die Fehler ausnutzen, um administrative Daten einzusehen, zu verändern oder zu löschen. In der Folge kann ein lokaler Angreifer privilegierte3n Zugang zum System erlangen. Fehlerbereinigte Software steht jetzt zur Verfügung.

Für Systeme, die unter HP Tru64 UNIX betrieben werden, wurden mehrere Sicherheitslücken gefunden, falls IPSEC, welches das Internet Security Association and Key Management Protocol (ISAKMP) benutzt, aktiviert ist. Diese Fehler können über das Netzwerk zu Denial-of-Service Angriffen genutzt werden. HP hat Early Release Patch Kits (ERPs) veröffentlicht.

Es wurde entdeckt, dass die offiziellen 'kpdf' Patches wegen einiger Sicherheitslücken in 'xpdf' nicht vollständig waren. Deshalb ist 'kpdf' noch immer gegen bestimmte, bösartig konstruierte PDF Dateien anfällig. Fehlerbereinigte Pakete beheben dieses Problem.

In Squirrelmail, einem verbreiteten Webmail System, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im "Reflection" API des Java Runtime Environment (JRE) wurden sieben Sicherheitslücken gefunden, die es nicht vertrauenswürdigen Applets erlauben, ihre Rechte zu erweitern. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der 'civserver' Komponente des 'freeciv' Spiels wurde die Möglichkeit zu einem Denial-of-Service Angriff gefunden. Fehlerbereinigte Pakete beheben dieses Problem.

'initscripts' behandelt Umgebungsvariablen auf unsichere Art und Weise, wenn /sbin/service ausgeführt wird. Ein lokaler Benutzer, der /sbin/service über sudo ausführen kann, kann beliebige Kommandos mir Root Rechten ausführen.
'Squid' weist eine Sicherheitslücke bei der NTLM Authentifizierung auf, die zum Absturz de Squid Servers führen kann.
Ein Fehler in SpamAssassin ermöglicht es einer bösartig konstruierten Email, SpamAssassin zum Absturz zu bringen.
Das 'dm-crypt' Kernelmodul löscht eine Datenstruktur vor der Freigabe nicht. Ein lokaler Benutzer kann u.U. Information über kryptografische Schlüssel erlangen.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In Mailman wurde ein Fehler bei der Behandlung von UTF8 Zeichenkodierungen gefunden. Ein Angreifer kann durch bösartig konstruierte Email die Funktion einer Mailingliste verhindern. Eine Sicherheitslücke bei der Verarbeitung von Datumsangeben kann den Mailman Server zum Absturz bringen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In GNU 'tar' wurde eine Sicherheitslücke durch einen Pufferüberlauf gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Ein lokaler Benutzer kann durch einen Fehler im "pagedate" Subsystem des Prozessfilesystems "/proc" eine Kernel Panik auslösen. Ein Patch behebt dieses Problem.

In 'gnutls' wurden mehrere gravierende Fehler gefunden, die den DER Decoder in 'libtasn1' zum Absturz bringen können. Fehlerbereinigte Software steht jetzt zur Verfügung.

Oracle hat Patches herausgegeben, die verschiedene Sicherheitsrisiken beheben. Es bestehen unterschiedliche Möglichkeiten für z.B. SQL Injection oder Preisgabe von Informationen. Oracle warnt, dass bei nicht verbesserten Systemen ein hohes Risiko besteht, da die Schwachstellen zwar einen Zugang über das Netzwerk benötigen, aber keine gültigen User Accounts. Detaillierte Informationen über die Schwachstellen finden Sie im Advisory von Oracle.

Der Dantz Retrospect 7 Backup-Client lauscht auf Port 497/tcp auf Kommandos vom zentralen Backup-Server. Schickt ein Benutzer ein spezielles Paket an diesen Socket, hört der Backup-Client auf zu arbeiten. Hierdurch kann ein nicht authentisierter Benutzer einen Denial-of-Service erreichen, so dass im Zielnetzwerk kein Backup mehr durchgeführt wird. Dieses Problem wird mit den aktuellen Updates des Retrospect Clients für Windows in den Versionen 7.0.109 bzw. 6.5.138 behoben.

In Version 10.3.9 von Apple Mac OS X können aufgrund eines Designfehlers lokale Benutzer beliebige Dateien des Systems überschreiben. Das Programm passwd ist setuid application, wodurch Benutzer ihr Passwort ändern können.
Eine erste Schwachstelle besteht, weil passwd Optionen akzeptiert, durch die ein Benutzer bestimmen kann, mit welcher Passwort-Datenbank gearbeitet werden soll. Hier wird nicht überprüft, ob der Benutzer das Recht hat, eine Datei am angegebenen Ziel anzulegen. Auch werden die Dateiberechtigungen nicht gesetzt. Daher kann ein Benutzer im Prinzip beliebige Dateien anlegen, die dem Benutzer root gehören, wobei die Rechte so sind, dass jeder Benutzer Schreibrechte dazu hat. Eine weitere Schwachstelle besteht, weil von passwd temporäre Dateien mit vorhersagbaren Namen angelegt werden. Mit Hilfe eines symbolischen Links zu einer Zieldatei und der Änderung des Passwortes kann beliebiger Inhalt in die Zieldatei eingetragen werden.
Ein Update behebt diese Probleme.

Durch einen Intergerüberlauf in der Funktion Perl_sv_vcatpvfn() kann ein lokaler Benutzer Perl Applikationen zum Absturz bringen oder beliebigen Code ausführen. Patches stehen jetzt zur Verfügung.
In den Webservern Apache 2.0 und Apache 1.3 wurden mehrere Sicherheitslücken gefudnen. Patches stehen noch nicht zur Verfügung.

Diverse Sicherheitsprobleme wurden in apache_mod_php, automount, BOM, Directory Services, FileVault, IPSec, LibSystem, Mail, perl, rsync, Safari, Syndication und iChat korrigiert. Sie stehen nun als Bundle im Security Update 2006-001 bereit.

Eine Sicherheitslücke in OpenSSH ermöglicht es nicht authentisierten Angreifern, über das Netzwerk einen Denial-of-Service Zustand harvorzurufen, wenn PAM Authentisierung verwendet wird.
Der Code des NFS Servers, der RPC Nachrichten via TCP verarbeitet weist einen Fehler auf, der zu einer Kernel Panic führen kann.
Patches stehen jetzt zur Verfügung.

In HP System Management Homepage (SMH) auf Microsoft Windows wurde eine Sicherheitslücke gefunden, die es einem Angreifer über das Netzwerk ermöglicht, auf Dateien mittels Directory Traversal zuzugreifen. Fehlerbereinigte Software steht noch nicht zur Verfügung. Ein Workaround ist im Advisory beschrieben.

Die WYSIWYG Rendering Engine in Mozilla Thunderbird 1.0.7 und früher ermöglicht s Angreifern, die JavaScript Security Einstellungen mittels einer Email, die eine JavaScript URI im SRC Attribut eines IFRAME Tags enthält, zu umgehen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In GNU 'tar' wurde eine Sicherheitslücke durch einen Pufferüberlauf gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der Behandlung von Dateinamen durch 'unzip' wurde ein Pufferüberlauf gefunden. Ein bösartig konstruiertes ZIP Archiv kann beliebigen Code mit den Rechten eines Benutzers von 'unzip' ausführen.
Die Skripte 'autoprint' und 'gettextsize' aus dem 'gettext' Paket erzeugen temporäre Dateien auf unsichere Art und Weise.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.