Die bei Sun Solaris enthaltene Bibliothek libpng(3) zeigt verschiedene Schwachstellen, die von Benutzern lokal oder über das Netzwerk ausgenutzt werden können, um einen Denial-of-Service (DoS) oder auch beliebigen Code auszuführen. Betroffen hiervon sind auch Applikationen, die gegen libpng(3) gelinkt sind. Ausgelöst werden die Sicherheitsprobleme durch Dateien im PNG-Format, die von Angreifern entsprechend modifiziert wurden. Für Sun Solaris 10 steht ein Patch zur Verfügung, für Sun Solaris 8 und 9 scheint einer in Vorbereitung zu sein.

Wireshark ist ein mächtiges Werkzeug zur Analyse von Datenverkehr im Netzwerk. Eine nicht näher beschriebene Schwachstelle im Dissektor für PCNFSD kann zu einem Denial-of-Service (DoS) führen, sofern solche Pakete untersucht werden. Version 1.0.8 steht jetzt zur Verfügung. Sie zeigt diese Lücke nicht mehr.

Der Apache HTTP Server ist ein weit verbreiteter und frei verfügbarer Webserver. Er zeigt einen Fehler bei der Bearbeitung komprimierter Daten zwischen mod_ssl und OpenSSL. Wenn innerhalb einer kurzen Zeit zu viele Verbindungen aufgebaut werden, wird der Systemspeicher und Swap-Bereich vom HTTPD belegt - mit negativen Folgen für andere Applikationen und das System. Eine Möglichkeit zum Cross-Site Scripting (XSS) bietet das Modul mod_proxy_ftp in Apache 2.0.63 und früher. Beliebiger Code kann über Wildcards in der Pfadangabe injeziert werden. Weiterhin besteht ein Fehler beim Arbeiten mit den Direktiven "Options" und "AllowOverride". Sofern bei einer Konfiguration bestimmte Kombinationen von "AllowOverride" mit Argumenten für "Options=" auftreten, können lokale Benutzer Kommandos von einem Server-Side-Include Skript ausgeführt werden, was vom Administrator sicherlich nicht immer gewünscht ist. Überarbietete Pakete beheben diese potenziellen Schwachstellen.

Microsoft weist auf eine neue Lücke in Microsoft DirectX hin. Sie bietet Angreifern die Möglichkeit, mit speziell präparierten QuickTime-Dateien auf einem anfälligen System im Prinzip beliebigen Code zur Ausführung zu bringen. Ein Patch steht derzeit noch nicht zur Verfügung. Ein Workaround ist im Advisory beschrieben.

Der VMware Descheduled Time Accounting Service ist ein optionaler, experimenteller Service, mit dem das Accounting für das Gast-Betriebssystem verbessert ist. Dieser Treiber kann unter bestimmten Umständen zu einem Denial-of-Service (DoS) in auf Windows basierten Systemen in virtuellen Maschinen führen. Ausgelöst werden kann dieser DoS durch einen einfachen lokalen Benutzer des virtuellen Systems. Entsprechende Updates stehen jetzt zur Verfügung.

Im Citrix Password Manager wurde jetzt eine Schwachstelle bekannt, durch die lokale Benutzer Zugang zu deren eigenen sog. Stored Secondary Credentials erhalten. Unter bestimmten Umständen kann so die vorgegebenen Sicherheitsrichtlinie umgangen werden. Diese Schwachstelle betrifft den Citrix Password Manager bis einschließlich Version 4.6. Behoben ist sie mit SP1 für diese Version.

Das Ajax Session Module erlaubt Benutzern von Ajax, entsprechende PHP Session-Variable zu setzen. Hier wird allerdings die Drupal API nicht richtig genutzt, so dass Angriffe möglich sind. Beispiele dazu sind Cross Site Request Forgeries (CSRF) und Cross Site Scripting (XSS). Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Der Apache HTTP Server ist ein weit verbreiteter und frei verfügbarer Webserver. Er zeigt einen Fehler bei der Bearbeitung komprimierter Daten zwischen mod_ssl und OpenSSL. Wenn innerhalb einer kurzen Zeit zu viele Verbindungen aufgebaut werden, wird der Systemspeicher und Swap-Bereich vom HTTPD belegt - mit negativen Folgen für andere Applikationen und das System. Weiterhin besteht ein Fehler beim Arbeiten mit den Direktiven "Options" und "AllowOverride". Sofern bei einer Konfiguration bestimmte Kombinationen von "AllowOverride" mit Argumenten für "Options=" auftreten, können lokale Benutzer Kommandos von einem Server-Side-Include Skript ausgeführt werden, was vom Administrator sicherlich nicht immer gewünscht ist. Überarbietete Pakete beheben diese potenziellen Schwachstellen.

Verschiedene Schwachstellen im Java Runtime Environment (JRE) und Java Developer Kit (JDK) unter HP-UX wurden jetzt bekannt. Sie können, sofern sie von einem Angreifer ausgenutzt werden, zu unautorisierten Zugang zum System, zur Erweiterung von Rechte, zur Ausführung beliebigen Codes oder auch zum Denial-of-Service (DoS) führen. Ein Update behebt diese Sicherheitslücken.

Im Red Hat Application Stack wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der Red Hat Registration Authority 'rhpki-ra', einem Teil des Red Hat Certificate System, wurde ein Fehler bei der Überprüfung der Autorisierung von Benutzern gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im IBM Java JDK 5 wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Im Sun Java System Portal Server wurde eine Möglichkeiten zum Cross-Siter Scripting (XSS) in einer der Fehlerseiten gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'cscope', einem Werkzeug zum Betrachten von Sourcecode, wurde ein Pufferüberlauf gefunden. Sourcecode Dateien mit langen Dateinamen in Include Statements können beliebigen Code ausführen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Bei Freetype handelt es sich um eine freie und portable Lösung zum Öffnen und Managen von Font-Dateien. Einige wichtige Schwachstellen können nun geschlossen werden, daher wird die Installation der aktualisierten Pakete empfohlen.

Bei Pidgin handelt es sich um einen grafischen Instant Messaging Client, der verschiedene Protokolle beherrscht. Einige Schwachstellen wurden in diesem Client jetzt gefunden. Werden sie ausgenutzt, kann dies zu einem Denial-of-Service (DoS), aber auch zur Ausführung beliebigen Codes auf einem anfälligen Client führen. Neue Pakete beheben dieses Sicherheitsproblem.

In Little CMS, lcms, wurden verschiedene Lücken gefunden, durch die Angreifer über eine Datei einen Denial-of-Service (DoS) auslösen oder auch beliebigen Code ausführen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Bei Sun Java System Communications Express wurden verschiedene Möglichkeiten zum Cross-Site Scripting (XSS) gefunden. Hierdurch kann ein Angreifer beliebigen Code auf einem anfälligen System ausführen. Das erfolgt mit den Rechten des Benutzers, der den Browser nutzt. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In den Third-Party Drupal Modulen "E-Mail Verification" und "Views Bulk Operations" wurden jetzt Sicherheitslücken gefunden, durch die Cross-Site Scripting (XSS) Angriffe durchgeführt werden können. Weiterhin ist ggf. auch nicht erlaubter Systemzugriff möglich. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Die CiscoWorks Common Services zeigen eine Schwachstelle, über die nicht authentifizierte Angreifer über das Netzwerk auf Applikationen und Systemdateien zugreifen können. Hiervon betroffen sind nur Systeme unter Microsoft Windows, nicht Sun Solaris. Cisco hat zum Schließen dieser Lücke für seine Kunden freie Software-Updates herausgegeben.

Der Apache HTTP Server ist ein verbreiteter Webserver. Das Apache Modul mod_proxy_ajp bietet Unterstützung des Apache JServ Protocol (AJP) für das Modul Apache mod_proxy. Es kann zur versehentlichen Veröffentlichtung von Informationen kommen, da mod_proxy_ajp einen Fehler enthält. Unter bestimmten Umständen kann eine HTTP-Anfrage mit einer Antwort versorgt werden, die ggf. nur für einen anderen Benutzer vorgesehen war. Über das Red Hat Network steht ein Update zur Verfügung.

Im Kernel von SuSE Linux wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Der frei verfügbare Nameserver NSD zeigt bei der Verarbeitung bestimmter Anfragen Fehler, so dass hier ein Ein-Byte Pufferüberlauf zu einem Denial-of-Service (DoS) führen kann. Diese über das Netzwerk ausnutzbare Schwachstelle ist durch eine neue Version zu beheben.

Anwendungen von Drittanbietern, die das GSS-API nutzen, sind an die Generic Security Services Bibliothek libgss(3LIB) gelinkt. Aufgrund eines Fehlers kann ein nicht authentifizierter Benutzer lokal oder über das Netzwerk (abhängig von der Applikation) beliebigen Code mit den Rechten der Applikation ausführen. Ein neues Release schließt diese Lücke.

Im Kernel von Red Hat Enterprise Linux 5 Extended Update Support wurde eine Lücke gefunden, die Angreifern über das Netzwerk die Möglichkeit zum Denial-of-Service (DoS) oder auch die Ausführung beliebigen Codes erlaubt. Ein Kernel-Update steht jetzt zur Verfügung.

Der IBM Tivoli Storage Manager (TSM) zeigt eine Schwachstelle in der Java Gui, so dass hier unautorisierter Zugang möglich ist. Nur das Java Gui ist hiervon betroffen. Ein entsprechender Fix steht zum Downlaod bereit.

Eine sog. Race Condition in der MALLOCDEBUG Debugging-Komponente vom malloc Subsystem der Bibliothek libc.a wurde jetzt bekannt. Ein lokaler Benutzer kann dieses bei der Ausführung von Setuid-Root Programmen dazu ausnutzen, auf dem System beliebige Dateien zu überschreiben und so die Rechte von Root zu erhalten. Entsprechende Fixes stehen ab sofort zur Verfügung.

Eine Schwachstelle im fstat(2) Systemcall erlaubt lokalen Benutzern, eine System Panic und damit einen Denial-of-Service (DoS) auszulösen. Ein entsprechender Patch steht für Sun Solaris 9 zur Verfügung.

In HP Remote Graphics Software (RGS) Sender mit Easy Login wurde jetzt eine Schwachstelle bekannt. Sie kann über das Netzwerk dazu ausgenutzt werden, um unatorisierten Zugang zum System zu erhalten. HP hat ein Software-Update veröffentlicht, mit dem die Lücke geschlossen werden kann.

In 'java-1.5.0-ibm' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Kernel von Red Hat Enterprise Linux 4 wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Das 'nfs-utils' Paket, das mit RHBA-2008:0742 verteilt wurde, ist ohne TCP-Wrapper Support erstellt worden.
In 'util-linux' wurde ein Fehler beim loggen von Login Versuchen über das Audit Subsystem des Linux Kernels gefunden. Ein Angreifer kann Teile der Logeinträge manipulieren.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'ntpd' wurde ein Pufferüberlauf im Code zur NTPv4 Authentifizierung gefunden, durch den ein Angreifer über das Netzwerk beliebigen Code ausführen kann.
In Diagnosebefehl 'ntpq' wurde ein Pufferüberlauf gefunden, durch den ein bösartiger NTP Server beliebigen Code mit den Rechten des Benutzers von ntpq ausführen kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Potential security vulnerabilities have been identified with Bei der HP SystemManagement Homepage (SMH) für Linux und Windows wird PHP und OpenSSL eingesetzt. Hier bestehen Schwachstellen, die über das Netzwerk einen Cross-Site Scripting (XSS) und ggf. auch unautorisierten Zugang ermöglichen. HP bietet entsprechende Upgrades zum Schließen dieser Lücke.

Im Microsoft IIS6 wurde eine potenzielle Schwachstelle bekannt. Sie kann über das Netz dazu ausgenutzt werden, um geschützte Dateien ohne Passwortabfrage zu lesen. Sie wird derzeit bereits im Internet aktiv ausgenutzt. Daher sollten im Webroot-Verzeichnis keine vertraulichen Daten hinterlegt und WebDAV ausgeschaltet werden.

Eine potenzielle Schwachstelle wurde nun im HP Data Protector Express 3.x und 4.x sowie HP Data Protector Express Single Server Edition (SSE) 3.x und 4.x unter Microsoft Windows, Linux und NetWare gefunden. Sie kann lokal ausgenutzt werden, um einen Denial-of-Service (DoS) auszulösen oder eigenen Code zur Ausführung zu bringen. HP bietet entsprechende Upgrades zum Schließen dieser Lücke.

Im Adobe Reader 9.1 und Acrobat 9.1 und älteren Versionen besteht eine kritische Schwachstelle, durch die die Applikation zum Absturz und Angriffscode zur Ausführung gebracht und somit das gesamte System kontrolliert werden kann. Eine zweite Schwachstelle besteht zusätzlich beim Adobe Reader für Unix. Schließen lassen sich die Lücken durch die Installation der aktuellen Version, die jetzt zum Download bereit steht.

Das Apple Security Update 2009-002 beschreibt sehr viele Schwachstellen, die durch die Installation der jetzt verfügbaren Version Mac OS X v10.5.7 geschlossen werden können. Ältere Versionen sollten nicht mehr zum Einsatz kommen.

Im Kernel von Debian Linux wurden diverse Schwachstellen gefunden. Sie können u.a. zu einem Denial-of-Service (DoS), der Erweiterung von Rechten oder dem Ausspionieren von Daten durch Fremde führen. Diese Lücken können durch die Installation eines Updates jetzt behoben werden.

Bei Oracle's Outside In Technology handelt es sich um ein Tool zur Dokumentenkonvertierung, das viele unterschiedliche Binärformate unterstützt. Hier bestehen verschiedene Möglichkeiten, dass Angreifer unter Ausnutzung von Integerüberläufen eigenen Code zur Ausführung bringen. Der Grund hierfür ist eine nicht ausreichend genaue Untersuchung der Daten bei der Verarbeitung von Microsoft Excel Spreadsheets oder anderen Dokumenten im Microsoft Office Format. Oracle hat zur Behebung dieses Fehlers einen Patch herausgegeben.

In den Third-Party Drupal Modulen "Printer, e-mail and PDF versions" und "Feed Block" wurden jetzt Sicherheitslücken gefunden, durch die Cross-Site Scripting (XSS) Angriffe durchgeführt werden können. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Eine Sicherheitslücke in PostgreSQL ermöglicht es angemeldeten PostgreSQL Benutzern, einen Denial-of-Service Zustand des PostgreSQL Servers herbeizuführen.
In thunderbird(1) wurden mehrere Sicherheitslücken gefunden.
Patches stehen jetzt zur Verfügung.

In der Webmail Applikation 'squirrelmail' wurden mehrere Sicherheitslücken gefunden, durch die Cross-Site-Scripting Angriffe möglich sind. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der Cyrus SASL Bibliothek wurde ein Pufferüberlauf gefunden, durch den ein Angreifer über das Netzwerk beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In Komponenten der Drupal Core wurden Schwachstellen bekannt, die durch verbesserte Software jetzt geschlossen werden können.

In den 'ipsec-tools' wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk mit bösartig konstruierten, fragmentierten Paketen einen Denial-of-Service Zustand herbeiführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'poppler', einer Bibliothek zur Darstellung von PDF, wurden mehrere Sicherheitslücken gefunden.
In 'perl-DBD-Pg' wurden zwei Sicherheitslücken gefunden. Durch einen Pufferüberlauf auf dem Heap kann beliebiger Code ausgeführt werden. Ferner existiert ein Speicherleck.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In den Microsoft Office PowerPoint Produkten wurden 14 Schwachstellen gefunden. Zwölf davon werden ams kritisch eingestuft. Eine bösartig konstruierte PowerPoint Präsentation kann beliebigen Code mit den Rechten des Benutzers, der sie öffent, ausführen. Ein Hotfix steht jetzt zur Verfügung.

Im Sun GlassFish Enterprise Server und dem Sun Java System Application Server wurden mehrere Cross-Site-Scripting Schwachstellen gefunden, durch die ein Angreifer beliebigen JavaScript Code in der Browser Sitzung eines angemeldeten Benutzers ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen MozillaFirefox, apport, evolution, freetype2, java-1_4_2-ibm, kdegraphics3, openssl, libsoup, mozilla-xulrunner190, opensc, python-crypto, unbound und xpdf. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

In 'qemu', einem Emulator für Prozessoren, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'java-1.5.0-ibm' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'Pango' wurde ein Integerüberlauf gefunden, durch den eine überlange Zeichenkette beliebigen Code mit den Rechten der Applikation, die Pango aufruft, ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Kommanointerpreter der 'zsh' wurde ein Überlauf auf dem Stack gefunden, durch den ein Angreifer einen Denial-of-Service Zustand herbeiführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'lnds', einer Sammlung von Bibliotheken und Werkzeugen zum DNS, wurde ein Pufferüberlauf gefunden, durch den bösartig konstruierte DNS Records beliebigen Code ausführen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Die F-Secure Produkte weisen eine Schwachstelle bei der Untersuchung von ZIP und RAR Archiv Dateien auf. Geeignet konstruierte Archive können verhindern, dass Schadcode, der im Archiv enthalten ist, vom F-Secure AntiViren Scanner erkannt wird.
Betroffen sind insbesondere die Gateway Produkte F-Secure Anti-Virus for Microsoft Exchange und F-Secure Internet Gatekeeper. Weniger relevat ist die Sicherheitslücke bei den Client und Server Produkten. Hier wird der Schadcode erkannt, wenn das Archiv entpackt wird.
F-Secure stellt Updates zur Verfügung, die diese Sicherheitslücke beheben.

Im Kernel von Red Hat Enterprise Linux 5 wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Bei acpid, einem Daemon zur Auslieferung von ACPI Events, besteht die Möglichkeit, einen Denial-of-Service (DoS) auszulösen. Durchgeführt wird dieses durch das Öffnen einer sehr großen Anzahl von UNIX Sockets, die nicht sauber wieder geschlossen werden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Der Linux-Kernel zeigt verschiedene Schwachstellen, die zu einem Denial-of-Service (DoS) oder auch zur Erweiterung von Rechten führen können. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

Die "AttachFile" Action in 'moin', einer Wiki Software in Python, weist einen Fehler auf, durch den Cross-Site-Scripting Angriffe möglich sind.
In 'Drupal', einem Web-Content-Management-System, wurden zwei Sicherheitslücken gefunden, durch die Cross-Site-Scripting Angriffe möglich sind.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In Bibliothek 'libwmf' wurde ein Fehler bei der Speicherverwaltung gefunden, durch den eine bösartig kostruierte WMF Datei beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im HP OpenView Network Node Manager (OV NNM) für HP-UX, Linux, Sun Solaris und Microsoft Windows wurde eine Schwachstelle gefunden, durch die über das Netzwerk beliebiger Code ausgeführt werden kann. Patches stehen jetzt zur Verfügung.

In 'quagga', einem IP Routig Daemon, wurde eine Sicherheitslücke bei der Verarbeitung von AS Pfaden gefunden, die zum Asturz des BGP Daemons führen kann.
In PHP5 wurden mehrere Sicherheitslücken gefunden, die ein Angreifer über das Netzwerk ausnutzen kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

CA ARCserve Backup unter Solaris, Tru64, HP-UX und AIX zeigt verschiedene Schwachstellen im Webserver Apache. CA hat nun Updates herausgegeben, bei denen Apache Version 2.0.63 enthalten ist, die diese Lücken nicht mehr zeigt.

Im Symantec Reporting Server, der Teil von Symantec AntiVirus Corporate Edition (SAV), Symantec Client Security (SCS) und des Symantec Endpoint Protection Manager (SEPM) ist, wurde ein Fehler bei der Verarbeitung von URLs gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Der Linux-Kernel zeigt verschiedene Schwachstellen, die zu einem Denial-of-Service (DoS) oder auch zur Erweiterung von Rechten führen können. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

In 'wireshark', einem Netzwerk-Traffic-Analyzer, wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Adobe Reader 9.1 and Acrobat 9.1 und früheren Versionen besteht eine kritische Schwachstelle, durch die die Applikation abstürzen und auch beim Öffnen einer PDF-Datei fremder Code ausgeführt werden kann. Eine zweite Schwachstelle besteht wohl nur für Unix-basierte Systeme. Adobe plant derzeit die Herausgabe von Produkt-Updates. Bis diese zur Verfügung stehen, wird dringend empfohlen, im Adobe Reader bzw. Acrobat JavaScript unbedingt auszuschalten.

Bei acpid, einem Daemon zur Auslieferung von ACPI Events, besteht die Möglichkeit, einen Denial-of-Service (DoS) auszulösen. Durchgeführt wird dieses durch das Öffnen einer sehr großen Anzahl von UNIX Sockets, die nicht sauber wieder geschlossen werden. Überarbeitete Pakete stehen jetzt zur Verfügung.

Jetty bietet einen HTTP server, HTTP client und javax.servlet Container. Ein Fehler bei der Interpretation von kanonischen Pfaden durch den Webserver bietet die Möglichkeit zu einem Directory Traversal. Hierdurch können Angreifer mittels eines URL über das Netzwerk Dateien auf dem Webserver außerhalb der Webapplikation oder Web-Root speichern. Jetty Version 6.1.17 zeigt dieses Problem nicht mehr.

Im Flash Media Server 3.5.1 und früher wurde jetzt eine Schwachstelle bekannt, durch die ein Angreifer über das Netzwerk Remote Procedures im Flash Media Interactive Server oder Flash Media Streaming Server ausführen kann. Adobe empfiehlt ein Update auf die aktuelle Version des Flash Media Servers (3.5.2 oder 3.0.4 oder höher).

Udev vor Version 1.4.1 prüft nicht ausreichend genau, ob NETLINK Messages wirklich aus dem Kernel Space kommen. Daher können lokale Benutzer solche Nachrichten auch aus dem User Space schicken und so erweiterte Rechte erhalten. Ein Pufferüberlauf in der Funktion util_path_encode in udev/lib/libudev-util.c von udev vor 1.4.1 erlaubt lokalen Benutzern, einen Denial-of-Service (DoS) auszulösen, indem spezielle Argumente an den Call übergeben werden. Überarbeitete Pakete stehen jetzt zur Verfügung.