In 'Drupal' wurde eine Sicherheitslücke gefunden, durch die ein Angreifer die Session ID eines Benutzers kontrollieren kann (Session Fixation). Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'phpMyAdmin' wurden zwei Sicherheitslücken gefunden, durch die Cross-Site-Framing und Cross-Site-Scripting Angiffe möglich sind. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'ffmpeg' wurde eine Sicherheitslücke gefunden, durch die bösartig konstruierte STR Dateien beliebigen Code ausführen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Kernel von SUSE Linux Enterprise 10 wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Die Oracle Weblogic Server und Weblogic Express Applikationsserver beinhalten das Weblogic Apache Connector Plugin (mod_wl). In 'mod_wl' wurde ein Puhherüberlauf bei der Verarbeitung von POST Requests gefunden, durch den ein Angreifer über das Netzwerk ohne Authentifizierung beliebigen Code ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

In der Service Console des VMware ESX Servers wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im "Probe Builder" von HP OpenView Internet Services wurde eine Sicherheitslücke gefunden, die es einem Angreifer über das Netzwerk ermöglicht, das System, auf dem HP OpenView Internet Services läuft, zum Absturz zu bringen. Patches stehen jetzt zur Verfügung.

In NetApp Data ONTAP wurden mehrere Sicherheitslücken gefunden, die es einem Angreifer ermöglichen, beliebigen Code auszuführen, vertrauliche Daten auszulesen oder das System zum Absturz zubringen. Fehlerbereinigte Software steht jetzt zur Verfügung.

In der Bibliothek 'libpng' wurde eine Sicherheitslücke bei der Verarbeitung von Blöcken in PNG Bildern gefunden, durch die beliebifer Code ausgeführt werden kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In RealNetworks RealPlayer wurden mehrere Sicherheitslücken gefunden. RealNetworks hat eine neue Version des RealPlayers herausgegeben.

Debian hat in Bezug auf die bekannten Schwachstellen im DNS jetzt auch das Paket refpolicy aktualisiert. Verschiedene Schwachstellen im Interpreter für die Sprache Ruby sind jetzt ebenfalls zu schließen. Sofern die neuen Pakete nicht installiert werden, kann es zu Denial-of-Service oder auch zur Ausführung beliebigen Codes kommen. Schließlich wurden jetzt auch im Interpreter für die Sprache Python einige Schwachstellen gefunden und behoben.

Im Kernel von openSUSE 11.0 wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Im Linux Kernel von Red Hat Enterprise Linux 4 wurden mehrere Sicherheitslücken gefunden.
In 'nss_ldap' wurde eine Race Condition, die Applikationen wie Dovecot, die LDAP Verbindungen nutzen, betrifft. Die Sicherheitslücke kan ndazu führen, dass eine Anfrage zu einem Benutzer mit Informationen zu einem anderen Benutzer beantwortet werden.
In den 'mysql' Paketen wurden mehrere Sicherheitslücken gefunden.
Im 'coreutils' Paket wurde ein Fehler bei der Nutzung des "pam_succeed_if" Pluggable Authentication Modules (PAM) gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'clamav' wurde eine Sicherheitslücke beim Analysieren von "Petite" gepackten Win32 Programmen gefunden. Eine bösartig konstruierte Datei kann 'clamav' zum Absturz bringen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'rdesktop' wurden ein Ineger Überlauf und ein Vorzeichenfehler gefunden, durch die ein bösartiger RDP Server beliebigen Code mit den Rechten des 'rdesktop' Clients ausführen kann.
Wenn die Version von 'vsftpd', die mit RHEL 3 und 4 ausgeliefert wird, mit Pluggable Authentication Modules (PAM) verwendet wird, kann ein Speicherleck auftreten.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Für Red Hat Enterprise Linux 4 stehen jetzt Kernel-Updates zur Verfügung, die mehrere Sicherheitslücken schließen.

Im Adobe Acrobat Reader wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im 'Red Hat Certificate System' wurde eine Sicherheitslücke beim erzeugen von Certificate Revocation Lists (CRL) gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Interpreter von Ruby wurden mehrere Sicherheitslücken gefunden, die Denial-of-Service Angriffe oder das Ausführen beliebigen Codes ermöglichen.
In 'libgd2', einer Bibliothek zum Erzeugen und bearbeiten von Graphiken, wurden mehrere Schwachstellen gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im PDF Destille, der mit einigen Versionen des BlackBerry Attachment Service geliefert wird, wurde eine Sicherheitslücke gefunden, die es einem bösartigen PDF Dokument ermöglicht, beliebigen Code auf dem System auszuführen. Patches stehen jetzt zur Verfügung.

Im SNMP Daemon (snmpd(1M)) des System Management Agent (SMA) von Sun Solaris 10 wurde eine Sicherheitslücke gefunden, die es einem Angreifer über das Netzwerk ermöglicht, beliebigen Code auszuführen oder den snmpd zum Absturz zu bringen. Ein Patch steht jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen moodle, clamav, zypper, mercurial und poppler. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

Im HP Select Identity Active Directory Bidirectional LDAP Connector wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk unbefugten Zugang erlangen kann. Patches stehen jetzt zur Verfügung.

In X.Org wurden mehrere Sicherheitslücken gefunden. Ein Source Code Patch steht jetzt zur Verfügung.

In 'afuse', einem selbst mountenden Filesystem im Userspace, wurde ein Fehler bei der Verarbeitung von Metazeichen in Pfaden gefunden, durch den ein lokaler Angriefer beliebigen Code mit den Rechten des Besitzers eines Filesystems ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen sind Thunderbird und Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

Das Juil-Update von Oracle steht jetzt zur Verfügung. Hiermit werden insgesamt 45 Patches für Produkte von Oracle bereitgestellt. Alleine 13 davon betreffen den Oracle Database Server (inkl. Version 11g). Weitere Informationen sowie Informationen zur Verfügbarkeit des Updates finden Sie im Advisory.

In Software von Microsoft, die auch auf der Storage Management Appliance (SMA) eingesetzt wird, zeigt einige Schwachstellen. Diese betreffen u.U. auch die SMA, so dass die im Advisory gegebenen Informationen genau ausgewertet werden sollten.

In PHP wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'lighttpd', einem leichtgewichtigen HTTP Server, wurden zwei Sicherheitslücken gefunden, die es einem Angreifer über das Netzwerk ermöglichen, einen Denial-of-Service Zustand herbeizuführen.
In 'gaim', einem Multi-Protokoll Instant Messagin Client, wurden mehrere Integerüberläufe im Zusammenhang mit dem MSN Protokoll gefunden, durch die beliebiger Code ausgeführt werden kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Java Runtime Environment (JRE) von Sun Java wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Code zur Verarbeitung von Arrays und Strings in 'Ruby' wurden mehrere Pufferüberläufe auf dem Heap gefunden, durch die beliebiger Code ausgeführt werden kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Parser für das Bluetooth Session Description Protocol (SDP) der Bluez Bluetooth Utilities wurde ein Fehler bei der Überprüfung von Eingabewerten gefunden. Ein bösartiges Bluetooth Gerät oder ein lokaler Benutzer kann beliebigen Code mit den Rechten des 'hcid' Daemons ausführen. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Datenbankserver MySQL wurde ein Fehler bei der Überprüfung von optionalen Verzeichnispfad Angaben gefunden, wodurch ees möglich ist, dass zwei Datenbanken die selben Daten oder Index Dateien verwenden. Ein Angreifer mit CREATE TABLE Rechten für eine Datenbank, kann Daten in anderen Datenbanken lesen, schreiben oder löschen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Mit dem Microsoft Snapshot Viewer lassen sich Snapshots betrachten, die mit Microsoft Access gemacht worden sind. Er steht als ActiveX Control snapview.ocx oder als separate Applikation bereit. Aufgrund einer sog. Race Condition können nicht authentifizierte Angreifer bei anfälligen Systemen über das Netzwerk beliebige Dateien an beliebige Orte kopieren. Es wird empfohlen, das entsprechende Kill-Bit für das ActiveX Control zu setzen.

Im Ruby Interpreter und in Webrick, den mit Ruby gebundelten Webserver, wurden jetzt verschiedene Schwachstellen bekannt. Sofern sie ausgenutzt werden, sind unter anderem Directory Traversal Angriffe, aber auch aufgrund von Integer-Überläufen die Ausführung beliebigen Codes möglich.
Ein Integerüberlauf in Pidgin's MSN Protocol Handler kann die Ausführung von Code bieten, der mit einer speziell gestalteten MSN Message übertragen wird.
Die Möglichkeit zu Denial-of-Service besteht beim OpenLDAP slapd Daemon bei der Verarbeitung bestimmter Meldungen. Ein nicht authentifizierter Angreifer kann mit einer speziellen Anfrage für den DoS sorgen.
Diese Schwachstellen lassen sich schließen, indem die aktualisierten Pakete installiert werden.

In Novell eDirectory wurde eine Sicherheitslücke bei der Verarbeitung von LDAP-Anfragen gefunden. Ein Pufferüberlauf auf dem Heap kann ausgenutzt werden, um beliebigen Code auszuführen. Fehlerbereinigte Software steht jetzt zur Verfügung.

Durch geeignet konstruierte URLs können bei RoboHelp Server 6 und RoboHelp Server 7 Installationen Cross-Site-Scripting Angriffe durchgeführt werden. Patches stehen jetzt zur Verfügung.

Im HP OpenView Network Node Manager (OV NNM) wurde eine Sicherheitslücke gefunden, die es einem Angreifer über das Netzwerk ermöglicht, nicht-autorisierten Zugriff auf Daten zu erlangen. Patches stehen jetzt zur Verfügung.

Gleich mehrere Schwachstellen im Microsoft SQL Server können Benutzern bzw. Angreifern erweiterte Rechte geben. Ein Update steht zur Verfügung und sollte zeitnah installiert sein.

Zwei Schwachstellen im Bereich siteübergreifender Skripterstellung können dafür sorgen, dass normale Benutzer erweiterte Rechte erhalten. Ein Update steht zur Verfügung und sollte zeitnah installiert sein.

Der Windows Explorer von Vista und Server 2008 zeigt eine Schwachstelle bezüglich gespeicherter Suchvorgänge in Windows, so dass über eine spezielle Suchdatei Code von Angreifern ausgeführt werden kann. Ein Update steht zur Verfügung und sollte zeitnah installiert sein.

Zwei Schwachstellen in der Implementierung des Domain Name Systems erlaubt Angreifern das DNS zu manipulieren. Ein Update steht zur Verfügung und sollte zeitnah installiert sein.

In 'poppler', einer Bibliothek zur Darstellung von PDF, wurde eine Sicherheitslücke in Zusammenhang mit eingebetteten Fonts gefunden, durch die eine PDF Datei beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im OpenLDAP 'slapd' Daemon wurden eine Denial-of-Service Schwachstelle bei der Verarbeitung von bösartig konstruierten Nachrichten gefunden.
Im MSN Protokollhandler von 'pidgin' wurde ein Integerüberlauf gefunden, durch den beliebiger Code ausgeführt werden kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Mehrere verschiedene DNS Implementierungen sind anfällig gegen eine bisher unbekannte Variante des DNS Cache Poisonings. Nähere Details sollen erst im August bekannt gegeben werden. Betroffen sind unter anderem ISC BIND, Microsoft und Cisco. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Kernel von SUSE Linux Enterprise 10 SP1 wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen sudo, courier-authlib, gnome-screensaver, clamav, php5, ImageMagick, mtr, bind, pcre, tomcat, squid und freetype2. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

In 'wordpress', einem Weblog Manager, wurden mehrere Sicherheitslücken gefunden, die ein Angreifer über das Netzwerk ausnutzen kann.
In 'PCRE', der Bibliothek für Perl-Compatible Regular Expressions, wurde ein Pufferüberlauf des Heaps gefunden, durch die unter Umständen beliebiger Code ausgeführt werden kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In PHP wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Kernel von SUSE SLES 9, Novell Linux Desktop 9 und Novell Linux POS 9 wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Im 'Red Hat Certificate System' wurde eine Sicherheitslücke im Umgang mit Extensions in Certificate Signing Requests (CSR) gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Red Hat Application Stack, der die JBoss Enterprise Application Platform (EAP) beinhltet, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen sind Thunderbird und Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

In HP System Management Homepage (SMH) für Linux und Windows wurde eine Cross-Site-Scripting Sicherheitslücke gefunden. Patches stehen jetzt zur Verfügung.

Im Tomcat 4.0 JSP/Servlet Container wurden mehrere Sicherheitslücken gefunden. Ein Patch steht jetzt zur Verfügung.

In 'sympa', einem Emaillisten Manager wurde eine Sicherheitslücke gefunden, durch die eine bösartig konstruierte Nachricht einen Absturz verursachen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Apple hat ein Sicherheitsupdate für Mac OS X herausgegeben, mit dem verschiedene Schwachstellen in Alias Manager, CoreTypes, c++filt, Dock, Launch Services, Net-SNMP, Ruby, SMB File Server, System Configuration, Tomcat, VPN und WebKit. geschlossen werden.

Bei der Benutzung des Webbrowsers Safari kann beim Besuch speziell präparierter Webseiten die Applikation plötzlich abstürzen oder auch beliebiger Code vom Server aus ausgeführt werden. Grund ist ein Speicherproblem bei der Behandlung von JavaScript Arrays durch den WebKit. Safari 3.1.2 steht jetzt für Mac OS X v10.4.11 zur Verfügung, wodurch das Problem behoben werden kann.

Beim HP OpenView Network Node Manager (OV NNM) wurde eine potenzielle Schwachstelle gefunden. Sofern sie ausgenutzt wird, kann über das Netzwerk beliebiger Code ausgeführt oder auch ein Denial-of-Service (DoS) erreicht werden. HP stellt Patches zur Verfügung, um dieses Problem zu beheben.