In der Kerberos Implementierung von HP-UX wurden zwei Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk einen Denial-of-Service Zustand herbeiführen oder beliebigen Code ausführen kann. Patches stehen jetzt zur Verfügung.

In der Netscape Portable Runtime (NSPR), den Network Security Services (NSS) und Mozilla Seamonkey wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakate stehen jetzt zur Verfügung.

In den Third-Party Drupal Modulen "Date", "Calendar", "Bibliography Module", und "Live" wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Aktuelle Versions der Cisco IOS Software, die RFC4893 ("BGP Support for Four-octet AS Number Space") unterstützen, weisen zwei Denial-of-Service Schwachstellen bei der Verarbeitung von Border Gateway Protocol (BGP) Updates auf. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im 'kvm' Subsystem wurde eine Sicherheitslücke gefudnen, die es lokalen Benutzern ermöglicht, einen Denial-of-Service Zustand herbeizuführen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Die Microsoft Active Template Library (ATL), die mit Visual Studio geliefert wird, weist drei Sicherheitslücken auf. Betroffen von diesen Schwachstellen sind Programme, insbesondere AvtiveX-Controls, die unter Verwendung der ATL entwickelt werden. Ein Hotfix steht jetzt zur Verfügung.

Im Internet Explorer wurden drei Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code mit den Rechten der IE Benutzers ausführen kann. Ferner wird das "Killbit" für mehrere ActiveX-Controls gesetzt, die von den Schwachstellen in MS09-035 betroffen sind. Ein Hotfix steht jetzt zur Verfügung.

Im Kernel von Debian Linux wurden diverse Schwachstellen gefunden. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

In der Bibliothek 'OpenEXR' wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im ISC BIND9 wurde eine Sicherheitslücke gefunden, durch die Denial-of-Service Angriffe möglich sind. Bösartig konstruierte Dynamic Update Nachrichten können den named(8) Prozess zum Absturz bringen. Fehlerbereinigte Software steht jetzt zur Verfügung.

In den Cisco Wireless LAN Controllern wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Squid Caching Proxy wurden zwei Sicherheitslücken gefunden, durch die ein Benutzer einen Denial-of-Service Zustand herbeiführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'MySQL' wurden mehrere ein Format-String- Sicherheitslücken gefunden, durch die ein Benutzer über das Netzwerk den Dienst zum Absturz bringen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'python', einer interactiven, interpretierten und objektorientierten Programmiersprache, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen zur Verfügung.

Im "git-daemon", der Teil von 'git-core' ist, wurde ein Fehler gefunden, durch den zusätzliche Parameter eine Endlosschleife auslösen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'pango' wurde ein Sicherheitslücke gefunden, durch die ein Angreifer die Applikation zum Absturz bringen oder beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Kernel von SuSE Linux wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

Im Adobe Flash Player wurde ein Puffeüberlauf gefunden, durch den bösartig konstruierte Flash Dateien (SWF) beliebigen Code ausführen können. Ebenfalls betrofen sind Adobe Reader und Acrobat. Fehlerbereinigte Software steht noch nicht zur Verfügung.

In 'xntp' auf HP-UX Systemen wurdane zwei Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code ausfüren kann. Patches stehen jetzt zur Verfügung.

Im Tomcat JSP/Servlet Container wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen zur Verfügung.

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen hiervon sind Thuderbird und Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

In der Sun Ray Server Software (SRSS) wurden zwei Sicherheitslücken gefunden, durch die ein lokaler Benutzer einen Denial-of-Service Angriff durchführen kann oder Zugriff auf Sessions anderer Benutzer erhalten kann, wenn "Trusted Extensions" aktiviert sind. Patches stehen zur Verfügung.

In 'dbus' wurde ein Fehler in der Funktion "dbus_signature_validate" gefunden, durch den ein Denial-of-Service Angriff möglich wird.
In 'gst-plugins-good0.10', den GStreamer Plugins aud der "good" Sammlung, wurde ein Integerüberlauf bei der Verarbeitung von PNG Dateien gefunden, durch den beliebiger Code ausgeführt werden kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Der 'pulseaudio' Daemon gibt seine erweiterten Rechte nicht auf, wenn diese nicht mehr benötigt werden. Durch eine Sicherheitslücke kann ein lokaler Angreifer erhöhte Rechte erlangen. Fehlerbereinigte Software steht jetzt zur Verfügung.

Eine Sicherheitslücke im Solaris IP Filter, ipfilter(5), ermöglicht es einem Angreifer über das Netzwerk eine Systempanik herbeizuführen.
Eine Sicherheitslücke im Solaris NFSv4 Server Kernel Module ermöglicht es einem lokalen Angreifer, eine Panik des NFSv4 Client Systems zu verursachen.
Patches stehen zur Verfügung.

In 'fckeditor', einem Text Editor für Webapplikationen, wurden mehrere Schwachstellen bei der Überprüfung von Eingabewerten gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Durch eine Sicherheitslücke in bestimmten System Board Firmware Revisions von Sun Fire V215 Servers mit XVR-100 Graphic Karten können Benutzer eine System Panik verursachen. Patches stehen zur Verfügung.

Im Just-in-time (JIT) JavaScript Compiler des Mozilla Firefox 3.5 Webbrowsers wurde eine Sicherheitslücke gefunden, durch die bösartige Webseiten im Browser beliebigen Code ausführen können. Fehlerbereinigte Software steht noch nicht zur Verfügung. Workarounds sind im Advisory beschrieben.

Der Cisco Unified Contact Center Express (Cisco Unified CCX) Server enthält zwei Sicherheitslücken in den Administrationsseiten der Customer Response Solutions (CRS) and Cisco Unified IP Interactive Voice Response (Cisco Unified IP IVR) Produkte. Es sind Directory Traversal und Script Injection Angriffe möglich. Fehlerbereinigte Software steht zur Verfügung.

Bei der Bearbeitung bestimmter Anweisungen im Virtual Machine Monitor besteht ein Fehler, durch den ein Angreifer auf dem gehosteten System erweiterte Rechte erhalten kann. Ein Hotfix steht jetzt zur Verfügung.

Für ActiveX steht ein kumulatives Update für das Setzen der Kill-Bits zur Verfügung. Speziell kann ein Angreifer von einer Webseite aus einen Fehler im ActiveX Control msvidctl.dll ausnutzen, um auf einem betroffenen System beliebigen Code auszuführen. Ein Hotfix steht jetzt zur Verfügung.

Eine Lücke bei der Authentifizierung im ISA Server 2006 bei Verwendung von Radius OTP wurde jetzt bekannt. Sofern ein der Name eines administrativen Benutzers bekannt ist, kann ein Angreifer im Prinzip erweiterte Rechte erhalten. Ein Hotfix steht jetzt zur Verfügung.

Wenn der Microsoft Office Publisher zum Öffnen, Importieren oder Konvertieren von Dateien des Microsoft Office Publisher 2007 oder älter genutzt wird, kann es zu einem Fehler bei der Dereferenzierung von Pointern kommen. Als Folge kann beliebiger Code ausgeführt werden. Ein Hotfix steht jetzt zur Verfügung.

Beim Parsen integrierter Fonts durch die Windows Embedded OpenType Font Engine (EOT) können Probleme auftreten, die einen heapbasierten Pufferüberlauf oder einen Integerüberlauf nach sich ziehen können. Als Folge ist ein Angreifer in der Lage, eigenen Code zur Ausführung zu bringen. Ein Hotfix steht jetzt zur Verfügung.

Microsoft DirectShow zeigt drei Schwachstellen, die aufgrund nicht ausreichend genauer Überprüfung von QuickTime Dateien oder aktualisierter Pointer zur Ausführung beliebigen Codes über das Netzwerk erlauben. Von dieser Lücke nicht betroffen sind der Microsoft Server 2008 und Windows Vista. Ein Hotfix steht jetzt zur Verfügung.

Aktualisierte Kernel-rt Pakete beheben einige sicherheitsrelevante Probleme und verschiedene andere Fehler in Red Hat Enterprise MRG 1.1 (MRG: Messaging, RealTime and Grid). Die Schwachstellen erlauben über das Netzwerk einen Denial-of-Service (DoS), aber auch den Zugang zu nicht öffentlichen Daten und das Erreichen erhöhter Rechte. Daher sollte das Update zeitnah installiert sein.

Im ISC 'dhclient' wurde ein Pufferüberlauf auf dem Stack gefunden, durch den ein DHCP Server mit bösartig kostruierten Subnetz Masken Parametern beliebigen Code auf dem System mit Root Rechten ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

in der Funktion "LZWDecodeCompat" von 'libtiff' wurde ein Pufferüberlauf gefunden, durch den bösartig konstruierte TIFF Bilder die Applikation zum Absturz bringen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'djbdns', einem Domain Name System Server, wurde eine Sicherheitslücke gefunden, die ein Angreifer mit Kontrolle über eine fremde Subdomain, die von 'tinydns' und 'axfrdns' bedient wird, ausnutzen kann um DNS Antworten mit beliebigen Records zu verbreiten.
In 'CamlImages', einer Bibliothek zur Bildverarbeitung, wurden mehrere Pufferüberläufe auf dem Heap gefunden, durch ein ein Angreifer beliebigen Code ausführen kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Tomcat JSP/Servlet Container, der mit Solaris 9 und 10 und OpenSolaris ausgeleifert wird, wurden mehrere Sicherheitslücken gefunden. Patches stehen zur Verfügung.

In den Programmen 'udev', 'sudo' und 'curl' der ESX Service Console wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'sork-passwd-h3', einem Horde3 Modul, mit dem Benutzer ihr Passwort ändern können, wurde ein Fehler gefunden, durch den Cross-Site-Scripting Angriffe möglich sind. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Third-Party Drupal Modul "Nodequeue" wurde eine Sicherheitslücke gefunden, durch die Cross-Site Scripting (XSS) Angriffe durchgeführt werden können. Verbesserte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

In Apple Safari wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In WordPress wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Process File System (proc(4)) von OpenSolaris wurde eine Sicherheitslücke gefunden, durch die ein lokaler Angreifer eine System Panik verursachen kann. Patches stehen jetzt zur Verfügung.

Im 'FCKEditor', der mit Adobe ColdFusion geliefert wird, wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk Dateine in beliebige Verzeichnisse laden kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

In den Modulen "mod_proxy" und "mod_deflate" des Apache Webservers 'httpd' wurden Sicherheitslücken gefunden, durch die Denial-of-Service Angriffe möglich sind. Fehlerbereinigte Pakate stehen jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen optipng, cups, quagga, pango, strongswan, perl-DBD-Pg, irssi, openssl/libopenssl-devel, net-snmp, ImageMagick/GraphicsMagick, perl, ipsec-tools/novell-ipsec-tools, poppler/libpoppler3/libpoppler4, yast2-ldap-server, tomcat6, gstreamer-plugins/gstreamer010-plugins-bad und apache2-mod_php5 Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

Im Linux Kernel wurden mehrere Sichehrheitslücken gefunden. Ein Kernel-Update steht jetzt zur Verfügung.

In der OpenSSL Bibliothek 'libcrypto' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'ipplan', einer IP Adress Management Webapplikation, wurde eiin Fehler bei der Überprüfung von Eingabewerten gefunden, durch den Cross-Site-Scripting Angriffe möglich sind.
Der 'ocsinventory-agent' weist einen unsicheren Perl Modul Such Pfad auf.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Durch einen Fehler in der UDP(7p) Funktionalität des Solaris Kernels kann ein lokaler Angreifer eine System Panik verursachen.
Eine Sicherheitslücke im Solaris NFSv4 Server Kernel Module ermöglicht es einem Angreifer über das Netzwerk beliebige Dateien zu lesen und zu schreiben.
Im System Management Agent (SMA) SNMP Daemon (snmpd(1M)) von Solaris wurde ein Pufferüberlauf auf dem Heap gefunden, durch den ein Angreifer über das Netzwerk einen Deanil-of-Service Zustand herbei führen kann.
Patches stehen zur Verfügung.

Im 'statuswml.cgi' Script von Nagios wurde ein Fehler gefunden, durch den beliebige Shell Befehle ausgeführt werden können.
Ein Pufferüberlauf in 'eggdrop' ermöglicht es Angreifern über das Netzwerk beliebigen Code auszuführen.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Der nun veröffentlichte IBM Java 6 SR 5 behebt viele Fehler und kritische Sicherheitsprobleme, die u.a. zu unerwünschtem Zugang zu lokalen Daten, die Ausführung beliebigen Codes sowie Denial-of-Service (DoS) führen können. Es wird empfohlen, das aktuelle Update zeitnah zu installieren, das über YOU zur Verfügung steht.

Ein Speicherleck im Solaris Ultra-SPARC T2 Crypto Provider Device Driver (n2cp(7D)) kann zu einem Denial-of-Service (DoS) gegen das gesamte System führen. Patches für Sun Solaris und OpenSolaris stehen jetzt zur Verfügung.

In 'pluto' IKE Daemon von Openswan wurden mehrere Fehler bei der Überprüfung von Feldern in X.509 Zertifikaten gefunden. Ein Angreifer kann mit bösartig konstruierten X.509 Zertifikaten 'pluto' zum Absturz bringen.
In der Implementierung des OSCAR Protokolls in Pidgin wurde ein Fehler gefunden, der Denial-of-Service Angriffe ermöglicht.
In 'ruby' wurden mehrere Sicherheitslücken gefunden.
Fehlerbereinigte Pakate stehen jetzt zur Verfügung.

Im Third-Party Drupal Modul "Advanced Forum" wurde eine Sicherheitslücke gefunden, durch die Cross-Site Scripting (XSS) Angriffe durchgeführt werden können. Verbesserte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

In Komponenten der Drupal Core wurden Schwachstellen bekannt, die durch verbesserte Software jetzt geschlossen werden können.

Im 'krb5' Paket der ESX Service Console wurde eine Sicherheitslücke gefunden. Patches stehen jetzt zur Verfügung.

In der Sun Java Web Console wurden mehrere Cross-Site-Scripting (XSS) Schwachstellen gefunden. Patches stahen jetzt zur Verfügung.

In NFS/ONCplus auf HP-UX Systemen wurde eine Sicherheitslücke gefunden, durch die ein lokaler Angreifer einen Denial-of-Service Zustand herbeiführen kann. Patches stehen jetzt zur Verfügung.

Im Sun Java System Access Manager Cross-Domain Controller (CDC) wurde eine Cross-Site-Scripting (XSS) Schwachstelle gefunden. Patches stahen jetzt zur Verfügung.

Im SSH Protokoll wurde einr Schwachstelle gefunden, wenn ein CBC Mode Cipher verwendet wird.
In ntp wurden zwei Pufferüberläufe gefunden, durch die ein Angreifer über das netzwerk beliebigen Code ausführen kann.
In hack(6) wurden mehrere Pufferüberläufe gefunden.
Fehlerbereinigte Software steht jetzt zur Verfügung.