Bei gPdf handelt es sich um ein Tool zum Anzeigen von Dateien im Portable Document Format (PDF). Ein aktualisiertes Paket steht jetzt für Red Hat Enterprise Linux 4 zur Verfügung, durch das verschiedene Schwachstellen geschlossen werden. Das Red Hat Security Response Team hat dieses Update als wichtig deklariert.
Der Linux Kernel ist die zentrale Komponente des Betriebssystems. Überarbeitete Pakete für Red Hat Enterprise Linux 4 beheben verschiedene Schwachstellen. Auch dieses Update wird vom Red Hat Security Response Team als wichtig eingestuft.

Freetype ist eine Bibliothek zur Verarbeitung und für den ZUgriff auf Font-Dateien. Eine Schwachstelle kann zu Integerüberläufen führen, was heap- oder stackbasierte Pufferüberläufe zur Folge haben kann. Als Folge stürzt die betreffende Applikation ab, und es kann ggf. auch Code mittels präparierter Fontdateien ausgeführt werden. Überarbeitete Pakete stehen jetzt zur Verfügung.

Bei libwmf handelt es sich um eine Bibliothek, mit der Vektorgrafiken im Windows Metafile Format (WMF) gelesen und konvertiert werden können. Eingesetzt wird sie von Applikationen wie GIMP und ImageMagick. Ein Fehler der bei libwmf enthaltenen Grafikbibliothek GD erlaubt Angreifern, mit präparierten WMF-Dateien die libwmf nutzende Applikation zum Absturz zu bringen. Gegebenenfalls ist auch die Möglichkeit gegeben, Code mit den Rechten des betroffenen Benutzers auszuführen. Ein Update steht jetzt zur Verfügung.

Eine Schwachstelle beim ASN.1 Drucken im OpenSSL Produkt (s. openssl(5)), das mit Sun Solaris ausgeliefert wird, kann Benutzern (lokal oder über das Netzwerk) die Möglichkeit bieten, einen Denial-of-Service (DoS) bei Appliaktionen auszulösen, die die Funktion "ASN1_STRING_print_ex()" für das Drucken nutzen. Eine abschließende Lösung für Sun Solaris 10 steht noch aus.

Eine Schwachstelle im Symantec Log Viewer (ccLgView.exe), der in verschiedenen Produkten von Symantec genutzt wird, erlaubt, JavaScript in das Log zu injezieren. Zwei Fehler beim Parsing erlauben speziell präparierten E-Mails, dass schädlicher Code in das Symantec Event Log geschrieben wird. Werden solche Logs geladen und über die Option "View Logs - Email Filtering" betrachtet, erfolgt die Ausführung des Codes im Symantec Log Viewer. Ein Update schließt diese potenzielle Schwachstelle.

In MySQL, einem relationalen Datenbankserver, und den dazu gehörenden Clients wurden verschiedene Schwachstellen gefunden, die lokal oder auch über das Netzwerk ausgenutzt werden können. Als Folge ist sowohl ein Denial-of-Service (DoS) als auch Cross-Site Scripting (XSS) möglich.
Fehlerbereinigte Pakete beheben diese Probleme.

Das Alert Management System 2 (AMS2) ist eine Komponente der Symantec System Center Console, des Symantec AntiVirus Servers und des Symantec AntiVirus Central Quarantine Servers. Vier Schwachstellen wurden jetzt bekannt:
- Intel Common Base Agent Remote Command Execution Vulnerability
- Intel Alert Originator Service Stack Overflow Vulnerability
- Intel Alert Originator Service Buffer Overflow Vulnerabilities
- Alert Management System Console Arbitrary Program Execution Design Error Vulnerability
Updates zum Schließen dieser Lücken stehen jetzt zur Verfügung.

Einige Third-Party Drupal Module sind gegenüber verschiedenen Angriffen empfindlich. Es handelt sich dabei um Cross-Site scripting (XSS), SQL Injection und Cross-Site Request Forgery (CSRF bzw. XSRF) und Umgehung von Zugangsbeschränkungen. Weiterin zeigt Drupal Core auch die Möglichkeit zum XSS. Überarbeitete Software steht jetzt zur Verfügung.

Der Kernel (kernel-rt) von Red Hat Enterprise MRG v1 für Red Hat Enterprise Linux 5 zeigt einige lokal ausnutzbare Schwachstellen. Neue Pakete schließen diese Lücken.

In ffmpeg, einem Multimedia Player, Server und Encoder, wurden verschiedene Schwachstellen gefunden, die zur Ausführung beliebigen Codes führen können.
Ebenso besteht die Gefahr der Ausführung beliebigen Codes auch im Mplayer, mit dem Filme unter Unix-ähnlichen Systemen abgespielt werden können.
Fehlerbereinigte Pakete beheben diese Probleme.

Der Adobe Reader für Linux zeigt zwei Schwachstellen im Bereich JavaScript. Diese können mit präparierten PDF-Dateien asugenutzt werden, so dass die Ausführung beliebigen Codes über das Netzwerk möglich ist. Ein Patch steht derzeit noch nicht zur Verfügung.

In DTrace ((dtrace(1M)) ioctl(2)) bestehen mehrere Schwachstellen, die lokale Benutzer dazu ausnutzen können, eine System Panic auszulösen. Hierbei handelt es sich bei Erfolg um einen Denial-of-Service (DoS). Wie das Problem umgangen werden kann, ist im Advisory ausgeführt.

Wenn Applikationen Spalten aus der Datenbank mit den Funktionen pg_getline und getline auslesen, besteht die Gefahr eines heapbasierten Pufferüberlaufs. Weiterhin kann ein Speicherleck für einen Denial-of-Service (DoS) sorgen. Überarbeitete Pakete stehen jetzt zur Verfügung.

Im Kommando useradd(1M) unter HP-UX zeigt ein potenzielles Problem. Aufgrund einer Schwachstelle kann ein lokaler Benutzer unautorisierten Zugang zu Verzeichnissen und Dateien erhalten. HP hat einen Hotfix herausgegeben, um dieses Sicherheitsloch zu schließen.

Bei SmartSockets handelt es sich um ein Framework für den Transport von Nachrichten, das mittels API für viele Betriebssysteme verfügbar ist. Die Serverkomponente dieses Frameworks ist der RTServer. Hier besteht die Möglichkeit, dass über das Netzwerk beim Parsen von UDP-Anfragen ein stackbasierter Pufferüberlauf ausgelöst werden kann. Als Folge können Angreiver beliebigen Code mit den Rechten des betroffenen Services ausführen. Es stehen Workarounds, aber auch Patches zur Verfügung, durch die diese Lücke geschlossen werden kann.

Firefox zeigt bei der Verarbeitung speziell präparierten Web-Contents Probleme. So kann von einer Website aus der Browser zum Absturz, oder auch zur Ausführung beliebigen Codes gebracht werden. Hierfür werden die Rechte des Benutzers von Firefox genutzt. In Version 3.0.10 ist dieses Problem behoben.

Im HP OpenView Network Node Manager (OV NNM) für HP-UX, Linux, Sun Solaris und Microsoft Windows wurde eine Schwachstelle gefunden, durch die über das Netzwerk beliebiger Code ausgeführt werden kann. HP hat einen Hotfix herausgegeben, um dieses Sicherheitsloch zu schließen.

Der Brightmail Control Center ist eine webbasierte Management-Konsole der Symantec Brightmail Gateway Appliance. Hier bestehen Probleme mit Cross-Site scripting (XSS) und erweiterten Rechten für Benutzer. Der Control Center prüft externe Eingaben von Clients berechtigter Benutzer nicht ausreichend genau. Skripte, die administrative Funktionen ausüben, können daher ggf. manipuliert werden und Zugang zu anderen Benutzer-Sessions gewähren. Ebenso ist unautorisierter Zugang zu anderen Systemen im internen Netzwerk oder auch die versehentliche Veröffentlichung vertraulicher Informationen möglich. Zusätzlich können einige Konsolenfunktionen von einem einfachen Benutzer dazu ausgenutzt werden, um erweiterte Zugangsrechte für die Appliance zu bekommen. Symantec Brightmail Gateway in Version 8.0.1 behebt diese Probleme.

Die C-Bibliothek von FreeBSD (libc) enthält Code für das Anlegen und den Zugriff auf Berkeley DB 1.85 Datenbank-Dateien. Diese werden in FreeBSD stark genutzt. Einige Datenstrukturen, die der Code des Datenbank-Interfaces nutzt, werden beim allokieren nicht richtig initialisiert. Daher können Programme, die das db(3) Interface für das Anlegen von Berkeley Datenbankdateien nutzen, versehentlich sensitive Informationen übermitteln. Wenn solche dann gelesen werden können, kann dies u.a. zum Kompromittieren von Accounts führen. Ein Upgrade behebt dieses potenzielle Problem.

Die Code-Bibliothek glib2 bietet Funktionen für das base64 Encoding und Decoding. Diese Funktionen sind gegenüber Integer-Überläufen anfällig, wenn sehr große Strings verarbeitet werden. Prozesse, die diese Funktionen für die Verarbeitung von Daten nutzen, lassen sich dann dazu nutzen, dass beliebiger Code mit den Rechten des Benutzers des Prozesses ausgeführt werden kann. Aktualisierte Software steht jetzt zur Verfügung.

In APT, dem Frontend für dpkg, wurden jetzt zwei neue Schwachstellen bekannt. Sofern bei Zeitzonen die sog. Daylight Savings um Mitternacht geschaltet sind, arbeitet in APT das Skript cron.daily nicht richtig, so dass auch keine sicherheitsrelevanten Updates automatisch eingebaut werden. Weiterhin wird ein Repository, das mit einem abgelaufenen oder zurückgezogenen OpenPGP Key unterschrieben ist, von APT als gültig erkannt. Überarbeitete Software steht jetzt zum Download bereit.

MySQL 5.0.x sowie einige Versionen von 5.1.x und 6.0.x zeigen einige Schwachstellen. Durch sie ist ein Denial-of-Service (DoS) möglich, aber auch eine Erweiterung von Rechten lokaler Benutzer oder ein Cross-Site Scripting Angriff. Es wird dringend empfohlen, die jetzt aktualisierten Pakete zu installieren.

In Citrix XenApp (vormals Presentation Server) wurde eine Sicherheitslücke gefunden, durch die Access Gateway Filter nicht richtig durchgesetzt werden. Ein Patch steht jetzt zur Verfügung.

In 'java-1.4.2-ibm' wurden mehrere Sicherheitslücken gefunden.
In 'mod_jk' wurde ein Fehler gefunden, durch den ein Angreifer über das Netzwerk auf geeignet konstruierte Anfrage Anworten erhlaten kann, die eigentlich für andere Benutzer bestimmt waren.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Sun Java System Calendar Server wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk den Calendar Server zum Absturz bringen kann. Ein Patch steht jetzt zur Verfügung.

In der Bibliothek 'giflib' wurden mehrere Sicherheitslücken gefudnen, durch die bösartig konstruierte GIF Bilder beliebigen Code ausführen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der Webapplikation 'mahara' werden Eingabewerte von Benutzern nur unzureichend bereinigt. Cross-Site-Scripting Angriffe sind möglich. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'mpg123' wurde ein Fehler bei der Integer Signedness gefunden, durch den ein ID3 Tag einen Denial-of-Service Zustand hebeiführen oder beliebigen Code ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen openswan/strongswan, clamav, gstreamer-0_10-plugins-base, gnome-panel, postgresql, acroread_ja, ghostscript-devel, xine-devel/libxine-devel, moodle, gnutls und udev. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

Das 'Simple Linux Utility for Resource Management' (SLURM), ein Cluster Job Management und Scheduling System, gibt zusätzliche Gruppen Zugehörigkeiten nicht ab. Ein SLURM Benutzer kann dadurch erweiterte Rechte erlangen.
In Git Revision Control System haben einige Dateien falsche Besitzer. Betroffen sind nur die DEC Alpha und MIPS Architekturen.
Fehlerbereinigte Pakete beheben diese Probleme.

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen hiervon ist Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'php-json-ext', einer JSON Erweiterung für PHP, wurde ein Fehler in der Funktion "json_decode" gefunden, durch die Denial-of-Service Angriffe möglich werden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Sun Java System Directory Server wurde eine Sicherheitslücke in der Online Hilfe gefunden, die es einem Angreifer über das Netzwerk ermöglicht, die Existenz von Dateien und Verzeichnissen auf dem System zu ermitteln. Ein Patch steht jetzt zur Verfügung.

Der Linux-Kernel von SUSE Linux Enterprise 11 und openSUSE 11.1 zeigt verschiedene Schwachstellen. Ein Kernel-Update steht jetzt zur Verfügung.

In 'ejabberd', einem verteilten Jabber/XMPP Server, wurde ein Fehler bei der Bereinigunf von MUC Logs gefunden, durch den Cross-Site-Scripting Angriffe möglich sind. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'cups', 'xpdf' und 'kdegraphics' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'udev', dem Management Daemon für Hotplug und /dev, wurden zwei Sicherheitslücken gefunden. 'udev' überprüft den Absender von NETLINK Nachrichten nicht. Dadurch kann ein lokaler Angreifer Root Rechte erlangen. Bei der Codierung von Pfaden kann ein Pufferüberlauf auftreten. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im ClamAV Anti-Virus Toolkit wurden jetzt einige Schwachstellen bekannt. Angreifer können einen Denial-of-Service (DoS, Endlosschleife) über eine TAR-Datei auslösen, durch die sich clamd und clamscan aufhängen können. Weiterhin ist ein DoS über eine EXE-Datei möglich, die für einen Absturz des Unpackers UPack sorgt. Überarbeitete Pakete stehen jetzt zur Verfügung.

Ein nicht authentifizierter Angreifer kann über das Netzwerk eine TCP-Verbindung zu den Prozessen "ctrlservice.exe" bzw. "rep_srv.exe" von EMC RepliStor 6.2, 6.3 aufbauen. Wird eine speziell präparierte Nachricht gesendet, erfolgt ein heapbasierter Pufferüberlauf, der auch die Ausführung beliebigen Codes nach sich ziehen kann. Dieses Problem ist in EMC RepliStor 6.2 SP5 bzw. 6.3 SP2 behoben.

In Third-Party Drupal Modulen wurden jetzt drei unterschiedliche Möglichkeiten gefunden, einen Cross-Site Scripting (XSS) Angriff erfolgreich durchzuführen. Betroffen hiervon sind der Localization Client, Printer, E-mail und PDF versionen sowie CCK Comment Reference.
Überarbeitete Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Eine Schwachstelle in IBM AIX 5.2, 5.3 und 6.1 kann lokalen Benutzern Root-Rechte verschaffen.
Die set-uid root Binärdatei "muxatmd" verbindet einen Programmnamen mit einem statischen String in der Datei mit der Prozess-ID "".pid". Der Zielpuffer, der an den Funktionsaufruf für diesen Vorgang weitergegeben wird, ist ein statischer Puffer auf dem Stack. Die Größe übergebener Parameter wird nicht überprüft, daher kann durch die Übergabe eines sehr langen Programmnamens ein stackbasierter Pufferüberlauf ausgelöst werden. Als Folge kann ein Angreifer beliebigen Code mit den Rechten von Root ausführen.
IBM hat einen Patch veröffentlicht, der dieses Problem behebt.

Das Whale Communications Intelligent Application Gateway ist eine Applikation, die als Funktionalität ein SSL VPN bietet. Das Whale Client Components ActiveX Control aus der Datei WhlMgr.dll zeigt verschiedene Möglichkeiten zu Pufferüberläufen. Sofern ein Benutzer eine speziell präparierte HTML-Datei aufruft, kann der Angreifer beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen und ggf. auch den Browser zum Absturz bringen. Dieses Problem ist mit dem Microsoft Intelligent Application Gateway 3.7 SP2 behoben.

Im Microsoft Internet Security and Acceleration (ISA) Server und dem Microsoft Forefront Threat Management Gateway (TMG) wurden zwei Sicherheitslücken gefunden, durch die ein Denial-of-Service Zustand herbeigeführt oder ein Cross-Site-Scripting Angriff durchgeführt werden kann. Ein Hotfix steht jetzt zur Verfügung.

In der Windows SearchPath Funktion wurde eine Schwachstelle gefunden, durch die ein Angreifer, der einen Benutzer dazu bringt, eine bestimmte Datei auf dem Desktop abzulegen, beliebigen Code mit den Rechten dieses Benutzers ausführen kann. Ein Hotfix steht jetzt zur Verfügung.

Im Internet Explorer wurden sechs Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code ausführen kann. Ein Hotfix steht jetzt zur Verfügung.

In den Microsoft Windows HTTP Services (WinHTTP) wurden drei Schwachstellen bekannt, durch die ein Angreifer über das Netzwerk beliebigen Code ausführen und das System kontrollieren kann. Ein Hotfix steht jetzt zur Verfügung.

In mehrere Komponenten von Microsoft Windows wurden Sicherheitslücken gefunden, durch die ein angemeldeter Benutzer erhöhte Berechtigungen erlangen kann. Ein Hotfix steht jetzt zur Verfügung.

In DirectX wurde eine Sicherheitslücke bei der Verarbeitung von MJPEG Dateien durch DirectShow gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Ein Hotfix steht jetzt zur Verfügung.

Vier Sicherheitslücken in Microsoft Wordpad und den Text Konvertern von Microsoft Office ermöglichen es, dass bösartig konstruierte Dokumente beliebigen Code mit den Rechten des Benutzers, der sie öffent, ausführen können. Ein Hotfix steht jetzt zur Verfügung.

In den Microsoft Office Excel Produkten wurden zwei Fehler bei der Speicherverwaltung gefunden. Ein bösartig konstruiertes Excel Dokument kann beliebigen Code mit den Rechten des Benutzers, der es öffent, ausführen. Ein Hotfix steht jetzt zur Verfügung.

In 'php' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'ghostscript' wurden mehrere Sicherheitslücken gefunden, durch die bösartig konstruierte PostScript oder PDF Dateien beliebigen Code ausführen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Werden von einem anfälligen System aus mittels NTP über das Netzwerk Peer-Informationen von einem präparierten Zeitserver geholt, kann dieses zur Ausführung von Code oder auch zu einem Denial-of-Service (DoS) führen. Überarbeitete Software steht zum Download bereit.

Eine potenzielle Schwachstelle wurde jetzt im HP ProCurve Manager und HP ProCurve Manager Plus bekannt. Durch sie kann ein Angreifer über das Netzwerk auf die Daten des ProCurve Manager Servers zugreifen. HP hat entsprechende Software-Updates herausgegeben, durch die diese Lücke geschlossen wird.

Im HP OpenView Performance Agent und HP Performance Agent wurde jetzt eine potenzielle Schwachstelle bekannt. Deren Ausnutzung ermöglicht Angreifern über das Netzwerk die Ausführung beliebigen Codes auf den betroffenen Systemen unter Microsoft Windows. HP hat einen Hotfix herausgegeben, um dieses Sicherheitsloch zu schließen.

Roundup ist ein Tool zur Verfolgung von Problemen mit jeweils einem Interface für die Kommandozeile, das Web und E-Mail. Benutzer können unberechtigterweise Ressourcen verändern und sich selbst auch administrative Rechte verleihen. Verschiedene Schwachstellen in imp4, der Webmail-Komponente des Horde Frameworks, erlaubt verschiedene Angriffe im Bereich Cross-Site Scripting (XSS). Verbesserte Pakete beheben diese Probleme.

OpenAFS, ein verteiltes Dateisystem, zeigt auf der Clientseite zwei Schwachstellen, die durch die Installation der jetzt erschienenen Patches geschlossen werden können.

OpenSC vor Version 0.11.7 erlaubt Angreifern, die sich physikalisch in der Nähe befinden, vorgesehene PIN-Anforderungen zu umgehen. Es können private Datenobjekte über ein low-level APDU-Kommando oder auch ein Debugging-Tool gelesen werden. In PHP wurde eine neue Schwachstelle bekannt. Die Funktion JSON_parser in PHP 5.2.x vor 5.2.9 erlaubt Angreifern mit einem speziellen String an die json_decode API Funktion einen Denial-of-Service auszulösen. Weiterhin wurde eine Schwachstelle in mod_perl v1.x und v2.x bekannt. Es handelt sich ume eine Cross-Site Scripting (XSS) Schwachstelle in Status.pm von Apache::Status und Apache2::Status in mod_perl1 und mod_perl2 vom Apache HTTP Server. Sie tritt auf, wenn auf /perl-status zugegriffen werden kann und hat zur Folge, dass Angreifer beliebigen Code in Webskripte bzw. HTML-Code injezieren können.
Überarbeitete Pakete schließen diese Schwachstellen.

In Wireshark 0.9.6 bis einschließlich 1.0.6 wurden verschiedene Schwachstellen gefunden. Der PROFINET Dissector ist gegenüber einem Format String Überlauf empfindlich. Der Check Point High-Availability Protocol (CPHAP) Dissector stürzt ggf. ab. Weiterhin gibt es einen Absturz beim Laden bestimmter Tektronix .rf5 Dateien. Wireshark 1.0.7 steht jetzt zur Verfügung und zeigt die genannten Schwachstellen nicht mehr.

Mit den multipath-tools werden Disk Multipath Device Maps verwaltet. Hier nutzt der multipathd unsichere Dateirechte für seinen Unix Domain Control Socket, so dass ein lokaler Angreifer die Möglichkeit hat, Kommandos an diesen Daemon zu schicken um ihn zu deaktivieren oder auch das Dateisystem zu schädigen. Ein Update steht zur Verfügung.

In den Cisco ASA 5500 Series Adaptive Security Appliances und Cisco PIX Security Appliances wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In firefox(1) wurden mehrere Sicherheitslücken gefunden.
Eine Schwachstelle in Solaris XScreenSaver ermöglicht, dass Popup- Fenster trotz aktiviertem Screensaver sichtbar werden und möglicherweise vertrauliche Informationen preisgeben.
Patches stehen jetzt zur Verfügung.

In 'tunapie', einem GUI Frontend für Video und Audio Streams, wurden mehrere Sicherheitslücken gefunden.
In 'horde3' wurden mehrere Sicherheitslücken gefunden, die Directory Traversal und Coss-Site-Scripting Angriffe (XSS) ermöglichen.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im ASN.1 Decoder von MIT Kerberos 5 wurde ein Fehler gefunden, durch den ein Angreifer über das Netzwerk einen Denial-of-Service (DoS) Zustand herbeiführen kann. Ferner existieren mehrere Fehler in der Implementierung des SPNEGO Mechanismuses. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In HP-UX Systemen auf denen PAM Kerberos betreiben wird, wurde eine Sicherheitslücke gefunden, die es einem lokalen Angreifer ermöglicht, erweiterte Rechte zu erlangen. Patches stehen jetzt zur Verfügung.

Im Sun Java System Calendar Server wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk den Calendar Server zum Absturz bringen kann. Ein Patch steht jetzt zur Verfügung.

In IBM Java 1.4.2 und IBM Java 6 wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'java-1.6.0-openjdk' wurden mehrere Sicherheitslücken gefunden.
Im ASN.1 Decoder von MIT Kerberos 5 wurde ein Fehler gefunden, durch den ein Angreifer über das Netzwerk einen Denial-of-Service (DoS) Zustand herbeiführen kann. Ferner existieren mehrere Fehler in der Implementierung des SPNEGO Mechanismuses.
Der 'mulitpathd' Daemon setzt falsche Berechtigungen für den Socket, der zur Kommunikation mit den Clients verwendet wird.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen multipath-tools, bluez, xntp, apache-mod_php4, apache2-mod_php5, struts, qemu, libsndfile und phpMyAdmin. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

In PHP wurden mehrere Sicherheitslücken gefunden.
In 'gstreamer-plugins-base' wurde beim Verarbeiten von Vorbis Kommentaren ein Pufferüberlauf auf den Heap gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der OpenSSL Bibliothek wurde eine Sicherheitslücke beim Verarbeiten von ASN.1 Daten gefunden, durch die ein bösartig konstruiertes Zertifikat einen Denial-of-Service Zustand herbeiführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Der Linux-Kernel von SUSE Linux Enterprise 9 und 10 zeigt verschiedene Schwachstellen. Ein Kernel-Update steht jetzt zur Verfügung.

Das EAI WebViewer3D ActiveX Control, das in der SAPgui enthalten ist, weist einen Pufferüberlauf auf dem Stack auf, durch den ein Angreifer beliebigen Code ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im TeX Filter von 'moodle', einem Web-basierten Kursmanagementsystem, wurde ein Fehler bei der Überprüfung von Eingabedaten gefunden, durch den der Inhalt von beliebigen Systemdateien angezeigt werden kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Sun Java System Calendar Server wurden mehrere Sicherheitslücken gefunden. Ein Patch steht jetzt zur Verfügung.

Im Solaris dircmp(1) Kommando wurde eine Race Condition gefunden, durch die ein lokaler Angreifer beliebige Dateien über schreiben oder anlegen kann. Ein Patch steht jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen moodle, and ghostscript vim, gvim, apache2, opera, multipath, tools java-1_6_0-openjdk, imp, horde, lcms, moodle und ghostscript. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

In 'icu', den "Internal Compoents for Unicode", werden Eingabedaten nicht ausreichend bereinigt, so dass Cross-Site Angriffe möglich sind. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Kernel von Red Hat Enterprise Linux 5 wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.