Network Security

AERAsec
Network Security
Current Security Messages


Most of the links lead to the corresponding files at CERT or other organisations. So changes take place immediately, especially which patches should be installed or which changes in the configuration should be made to avoid this vulnerability. Some of the files are transferred by FTP.

By the way: If we're not publishing well-known risks inheritant in any widely used platform or program that doesn't mean this particular platform or program is safe to use!

Here you find our network security search engine!


This is some information you send:

Your Browser

CCBot/2.0 (http://commoncrawl.org/faq/)

Your IP address

(no reverse DNS resolution) [54.196.17.157]

Your referer

(filtered or not existing)

Sorry, error in specified query string, skip selection

Aktueller Monat, Letzter Monat, Letzte 10 Meldungen, Letzte 20 Meldungen (nur Index)

Ausgewählt wurde Monat 07 / 2009

System: HP-UX
Topic: Schwachstellen in Kerberos
Links: HPSBUX02421 SSRT090047, CVE-2009-0846, CVE-2009-0847, ESB-2009.1119
ID: ae-200907-064

In der Kerberos Implementierung von HP-UX wurden zwei Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk einen Denial-of-Service Zustand herbeiführen oder beliebigen Code ausführen kann. Patches stehen jetzt zur Verfügung.

System: Red Hat Linux
Topic: Schwachstellen in NSPR, NSS und Seamonkey
Links: RHSA-2009-1184, RHSA-2009-1185, RHSA-2009-1186, CVE-2009-2404, CVE-2009-2404, CVE-2009-2404, ESB-2009.1121
ID: ae-200907-063

In der Netscape Portable Runtime (NSPR), den Network Security Services (NSS) und Mozilla Seamonkey wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakate stehen jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstellen in Drupal Third Party Modulen
Links: DRUPAL-SA-CONTRIB-2009-046, DRUPAL-SA-CONTRIB-2009-047, DRUPAL-SA-CONTRIB-2009-048, DRUPAL-SA-CONTRIB-2009-049, ESB-2009.1116
ID: ae-200907-062

In den Third-Party Drupal Modulen "Date", "Calendar", "Bibliography Module", und "Live" wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

System: Cisco IOS
Topic: Sicherheitslücken in Cisco IOS Software Border Gateway Protocol
Links: Cisco, CVE-2009-1168, CVE-2009-2049, ESB-2009.1117
ID: ae-200907-061

Aktuelle Versions der Cisco IOS Software, die RFC4893 ("BGP Support for Four-octet AS Number Space") unterstützen, weisen zwei Denial-of-Service Schwachstellen bei der Verarbeitung von Border Gateway Protocol (BGP) Updates auf. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstelle in kvm
Links: DSA-1846, CVE-2009-2287, ESB-2009.1112
ID: ae-200907-060

Im 'kvm' Subsystem wurde eine Sicherheitslücke gefudnen, die es lokalen Benutzern ermöglicht, einen Denial-of-Service Zustand herbeizuführen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Microsoft Windows
Topic: Schwachstellen in Microsoft Visual Studio Active Template Library
Links: MS09-035, VU#456745, CVE-2009-0901, CVE-2009-2493, CVE-2009-2495, ESB-2009.1101, APSB09-11, ESB-2009.1118, APSA09-04, APSB09-10, Cisco, ESB-2009.1102
ID: ae-200907-059

Die Microsoft Active Template Library (ATL), die mit Visual Studio geliefert wird, weist drei Sicherheitslücken auf. Betroffen von diesen Schwachstellen sind Programme, insbesondere AvtiveX-Controls, die unter Verwendung der ATL entwickelt werden. Ein Hotfix steht jetzt zur Verfügung.

System: Microsoft Windows
Topic: Schwachstellen in Microsoft Internet Explorer
Links: ae-200907-059, MS09-034, CVE-2009-1917, CVE-2009-1918, CVE-2009-1919, ESB-2009.1100
ID: ae-200907-058

Im Internet Explorer wurden drei Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code mit den Rechten der IE Benutzers ausführen kann. Ferner wird das "Killbit" für mehrere ActiveX-Controls gesetzt, die von den Schwachstellen in MS09-035 betroffen sind. Ein Hotfix steht jetzt zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstellen im Kernel
Links: DSA-1844, DSA-1845, CVE-2009-1385, CVE-2009-1389, CVE-2009-1630, CVE-2009-1633, CVE-2009-1895, CVE-2009-1914, CVE-2009-1961, CVE-2009-2287, CVE-2009-2406, CVE-2009-2407, ESB-2009.1110
ID: ae-200907-057

Im Kernel von Debian Linux wurden diverse Schwachstellen gefunden. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstellen in openexr
Links: DSA-1842, CVE-2009-1720, CVE-2009-1721, CVE-2009-1722, ESB-2009.1103
ID: ae-200907-056

In der Bibliothek 'OpenEXR' wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstelle in ISC BIND9
Links: ISC, VU#725188, CVE-2009-0696, FreeBSD-SA-09:12, ESB-2009.1110, NetBSD-SA2009-013, ESB-2009.1114, DSA-1847, ESB-2009.1113, RHSA-2009-1179, RHSA-2009-1180, RHSA-2009-1181, ESB-2009.1115, MDVSA-2009:181, OpenBSD, SUSE-SA:2009:040, ESB-2009.1120, Sun Alert #264828, ESB-2009.1126, TLSA-2009-22, ESB-2009.1135, HPSBUX02451 SSRT090137, ESB-2009.1148
ID: ae-200907-055

Im ISC BIND9 wurde eine Sicherheitslücke gefunden, durch die Denial-of-Service Angriffe möglich sind. Bösartig konstruierte Dynamic Update Nachrichten können den named(8) Prozess zum Absturz bringen. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Cisco Wireless LAN Controllers
Topic: Sicherheitslücken in Cisco Wireless LAN Controllers
Links: Cisco, CVE-2009-1164, CVE-2009-1165, CVE-2009-1166, CVE-2009-1167, ESB-2009.1098
ID: ae-200907-054

In den Cisco Wireless LAN Controllern wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstelle in squid
Links: SQUID-2009_2, ESB-2009.1099, MDVSA-2009:161, DSA-1843, ESB-2009.1104
ID: ae-200907-053

Im Squid Caching Proxy wurden zwei Sicherheitslücken gefunden, durch die ein Benutzer einen Denial-of-Service Zustand herbeiführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Mandriva Linux
Topic: Schwachstelle in mysql
Links: MDVSA-2009:159, CVE-2009-2446
ID: ae-200907-052

In 'MySQL' wurden mehrere ein Format-String- Sicherheitslücken gefunden, durch die ein Benutzer über das Netzwerk den Dienst zum Absturz bringen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Red Hat Linux
Topic: Schwachstellen in python
Links: RHSA-2009-1176, RHSA-2009-1177, RHSA-2009-1178, CVE-2007-2052, CVE-2007-4965, CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-3142, CVE-2008-3143, CVE-2008-3144, CVE-2008-4864, CVE-2008-5031, ESB-2009.1096
ID: ae-200907-051

In 'python', einer interactiven, interpretierten und objektorientierten Programmiersprache, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstelle in git-core
Links: DSA-1841, CVE-2009-2108, ESB-2009.1092
ID: ae-200907-050

Im "git-daemon", der Teil von 'git-core' ist, wurde ein Fehler gefunden, durch den zusätzliche Parameter eine Endlosschleife auslösen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Mandriva Linux
Topic: Schwachstelle in pango
Links: MDVSA-2009:158, CVE-2009-1194
ID: ae-200907-049

In 'pango' wurde ein Sicherheitslücke gefunden, durch die ein Angreifer die Applikation zum Absturz bringen oder beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: SuSE Linux
Topic: Schwachstellen im Kernel
Links: SUSE-SA:2009:038, CVE-2009-1385, CVE-2009-1389, CVE-2009-1630, CVE-2009-1961, ESB-2009.1091
ID: ae-200907-048

Im Kernel von SuSE Linux wurden diverse Schwachstellen gefunden, die durch die Installation eines Updates jetzt behoben werden können.

System: Verschiedene
Topic: Schwachstelle in Adobe Flash Player, Adobe Reader und Adobe Acrobat
Links: APSA09-03, CVE-2009-1862, VU#259425, RHSA-2009-1188, RHSA-2009-1189, ESB-2009.1122, SUSE-SA:2009:041, ESB-2009.1137
ID: ae-200907-047

Im Adobe Flash Player wurde ein Puffeüberlauf gefunden, durch den bösartig konstruierte Flash Dateien (SWF) beliebigen Code ausführen können. Ebenfalls betrofen sind Adobe Reader und Acrobat. Fehlerbereinigte Software steht noch nicht zur Verfügung.

System: HP-UX
Topic: Schwachstellen in xntp
Links: HPSBUX02437 SSRT090038, CVE-2009-0159, CVE-2009-1252, ESB-2009.1087
ID: ae-200907-046

In 'xntp' auf HP-UX Systemen wurdane zwei Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code ausfüren kann. Patches stehen jetzt zur Verfügung.

System: Red Hat Linux
Topic: Schwachstellen in Tomcat
Links: RHSA-2009-1164, CVE-2007-5333, CVE-2008-5515, CVE-2009-0033, CVE-2009-0580, CVE-2009-0781, CVE-2009-0783, ESB-2009.1085
ID: ae-200907-045

Im Tomcat JSP/Servlet Container wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen zur Verfügung.

System: Verschiedene
Topic: Sicherheitslücken in Mozilla Firefox, Thunderbird und Seamonkey
Links: Mozilla, CVE-2009-2462, CVE-2009-2463, CVE-2009-2464, CVE-2009-2465, CVE-2009-2466, CVE-2009-2467, CVE-2009-2469, CVE-2009-2471, CVE-2009-2472, RHSA-2009-1162, RHSA-2009-1163, ESB-2009.1083, ESB-2009.1084, DSA-1840, ESB-2009.1090, SUSE-SA:2009:039, ESB-2009.1097, SUSE-SA:2009:042, ESB-2009.1139
ID: ae-200907-044

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen hiervon sind Thuderbird und Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Sun Solaris
Topic: Schwachstellen in Sun Ray Server Software
Links: Sun Alert #253889, CVE-2009-2489, CVE-2009-2490, CVE-2009-2491, ESB-2009.1079
ID: ae-200907-043

In der Sun Ray Server Software (SRSS) wurden zwei Sicherheitslücken gefunden, durch die ein lokaler Benutzer einen Denial-of-Service Angriff durchführen kann oder Zugriff auf Sessions anderer Benutzer erhalten kann, wenn "Trusted Extensions" aktiviert sind. Patches stehen zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstellen in dbus und gst-plugins-good
Links: DSA-1837, CVE-2009-1189, ESB-2009.1074,
DSA-1839, CVE-2009-1932, ESB-2009.1075
ID: ae-200907-042

In 'dbus' wurde ein Fehler in der Funktion "dbus_signature_validate" gefunden, durch den ein Denial-of-Service Angriff möglich wird.
In 'gst-plugins-good0.10', den GStreamer Plugins aud der "good" Sammlung, wurde ein Integerüberlauf bei der Verarbeitung von PNG Dateien gefunden, durch den beliebiger Code ausgeführt werden kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Verschiedene
Topic: Sicherheitslücke in pulseaudio
Links: CVE-2009-1894, DSA-1838, ESB-2009.1077, MDVSA-2009:152
ID: ae-200907-041

Der 'pulseaudio' Daemon gibt seine erweiterten Rechte nicht auf, wenn diese nicht mehr benötigt werden. Durch eine Sicherheitslücke kann ein lokaler Angreifer erhöhte Rechte erlangen. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Sun Solaris, OpenSolaris
Topic: Schwachstellen in IP Filter und NFSv4
Links: Sun Alert #260951, ESB-2009.1071,
Sun Alert #262788, ESB-2009.1072
ID: ae-200907-040

Eine Sicherheitslücke im Solaris IP Filter, ipfilter(5), ermöglicht es einem Angreifer über das Netzwerk eine Systempanik herbeizuführen.
Eine Sicherheitslücke im Solaris NFSv4 Server Kernel Module ermöglicht es einem lokalen Angreifer, eine Panik des NFSv4 Client Systems zu verursachen.
Patches stehen zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstellen in fckeditor
Links: DSA-1836, CVE-2009-2265, ESB-2009.1069
ID: ae-200907-039

In 'fckeditor', einem Text Editor für Webapplikationen, wurden mehrere Schwachstellen bei der Überprüfung von Eingabewerten gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Sun Solaris
Topic: Schwachstelle in Sun Fire V215 Server
Links: Sun Alert #257329, CVE-2009-2458, ESB-2009.1067
ID: ae-200907-038

Durch eine Sicherheitslücke in bestimmten System Board Firmware Revisions von Sun Fire V215 Servers mit XVR-100 Graphic Karten können Benutzer eine System Panik verursachen. Patches stehen zur Verfügung.

System: Verschiedene
Topic: Sicherheitslücke in Mozilla Firefox 3.5
Links: VU#443060, CVE-2009-2477, ASB-2009.1015
ID: ae-200907-037

Im Just-in-time (JIT) JavaScript Compiler des Mozilla Firefox 3.5 Webbrowsers wurde eine Sicherheitslücke gefunden, durch die bösartige Webseiten im Browser beliebigen Code ausführen können. Fehlerbereinigte Software steht noch nicht zur Verfügung. Workarounds sind im Advisory beschrieben.

System: Microsoft Windows
Topic: Schwachstellen in Cisco Unified Contact Center Express
Links: Cisco, CVE-2009-2047, CVE-2009-2048, ESB-2009.1063
ID: ae-200907-036

Der Cisco Unified Contact Center Express (Cisco Unified CCX) Server enthält zwei Sicherheitslücken in den Administrationsseiten der Customer Response Solutions (CRS) and Cisco Unified IP Interactive Voice Response (Cisco Unified IP IVR) Produkte. Es sind Directory Traversal und Script Injection Angriffe möglich. Fehlerbereinigte Software steht zur Verfügung.

System: Microsoft Windows
Topic: Schwachstelle in Microsoft Virtual PC und Virtual Server
Links: MS09-033, CVE-2009-1542, ESB-2009.1051
ID: ae-200907-035

Bei der Bearbeitung bestimmter Anweisungen im Virtual Machine Monitor besteht ein Fehler, durch den ein Angreifer auf dem gehosteten System erweiterte Rechte erhalten kann. Ein Hotfix steht jetzt zur Verfügung.

System: Microsoft Windows
Topic: Schwachstelle in Microsoft Video ActiveX Control
Links: MS09-032, CVE-2008-0015, ESB-2009.1050
ID: ae-200907-034

Für ActiveX steht ein kumulatives Update für das Setzen der Kill-Bits zur Verfügung. Speziell kann ein Angreifer von einer Webseite aus einen Fehler im ActiveX Control msvidctl.dll ausnutzen, um auf einem betroffenen System beliebigen Code auszuführen. Ein Hotfix steht jetzt zur Verfügung.

System: Microsoft Windows
Topic: Schwachstelle in Microsoft Internet Security and Acceleration Server
Links: MS09-031, CVE-2009-1135, ESB-2009.1052
ID: ae-200907-033

Eine Lücke bei der Authentifizierung im ISA Server 2006 bei Verwendung von Radius OTP wurde jetzt bekannt. Sofern ein der Name eines administrativen Benutzers bekannt ist, kann ein Angreifer im Prinzip erweiterte Rechte erhalten. Ein Hotfix steht jetzt zur Verfügung.

System: Microsoft Windows
Topic: Schwachstelle in Microsoft Publisher
Links: MS09-030, CVE-2009-0566, ESB-2009.1054, iDefense
ID: ae-200907-032

Wenn der Microsoft Office Publisher zum Öffnen, Importieren oder Konvertieren von Dateien des Microsoft Office Publisher 2007 oder älter genutzt wird, kann es zu einem Fehler bei der Dereferenzierung von Pointern kommen. Als Folge kann beliebiger Code ausgeführt werden. Ein Hotfix steht jetzt zur Verfügung.

System: Microsoft Windows
Topic: Schwachstellen in Microsoft Embedded OpenType Font Engine
Links: MS09-029, CVE-2009-0231, CVE-2009-0232, ESB-2009.1048, iDefense
ID: ae-200907-031

Beim Parsen integrierter Fonts durch die Windows Embedded OpenType Font Engine (EOT) können Probleme auftreten, die einen heapbasierten Pufferüberlauf oder einen Integerüberlauf nach sich ziehen können. Als Folge ist ein Angreifer in der Lage, eigenen Code zur Ausführung zu bringen. Ein Hotfix steht jetzt zur Verfügung.

System: Microsoft Windows
Topic: Schwachstellen in Microsoft DirectShow
Links: MS09-028, CVE-2009-1537, CVE-2009-1538, CVE-2009-1539, ESB-2009.1049
ID: ae-200907-030

Microsoft DirectShow zeigt drei Schwachstellen, die aufgrund nicht ausreichend genauer Überprüfung von QuickTime Dateien oder aktualisierter Pointer zur Ausführung beliebigen Codes über das Netzwerk erlauben. Von dieser Lücke nicht betroffen sind der Microsoft Server 2008 und Windows Vista. Ein Hotfix steht jetzt zur Verfügung.

System: Red Hat Enterprise Linux 5
Topic: Sicherheitslücken im Kernel-rt
Links: RHSA-2009-1157, CVE-2009-1385, CVE-2009-1389, CVE-2009-1630, CVE-2009-1633, CVE-2009-1961, ESB-2009.1059
ID: ae-200907-029

Aktualisierte Kernel-rt Pakete beheben einige sicherheitsrelevante Probleme und verschiedene andere Fehler in Red Hat Enterprise MRG 1.1 (MRG: Messaging, RealTime and Grid). Die Schwachstellen erlauben über das Netzwerk einen Denial-of-Service (DoS), aber auch den Zugang zu nicht öffentlichen Daten und das Erreichen erhöhter Rechte. Daher sollte das Update zeitnah installiert sein.

System: Verschiedene
Topic: Schwachstellen in ISC DHCP dhclient
Links: VU#410676, ESB-2009.1053, CVE-2009-0692, CVE-2009-1893, RHSA-2009-1136, RHSA-2009-1154, ESB-2009.1055, DSA-1833, ESB-2009.1056, NetBSD-SA2009-010, ESB-2009.1057, MDVSA-2009:151, MDVSA-2009:154, SUSE-SA:2009:037, ESB-2009.1062
ID: ae-200907-028

Im ISC 'dhclient' wurde ein Pufferüberlauf auf dem Stack gefunden, durch den ein DHCP Server mit bösartig kostruierten Subnetz Masken Parametern beliebigen Code auf dem System mit Root Rechten ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstellen in libtiff
Links: CVE-2009-2285, CVE-2009-2347, MDVSA-2009:150, DSA-1835, ESB-2009.1061, , ESB-2009.1070, Sun Alert #265808, ESB-2009.1202
ID: ae-200907-027

in der Funktion "LZWDecodeCompat" von 'libtiff' wurde ein Pufferüberlauf gefunden, durch den bösartig konstruierte TIFF Bilder die Applikation zum Absturz bringen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstellen in djbdns und camlimages
Links: DSA-1831, CVE-2009-0858, ESB-2009.1043,
DSA-1832, CVE-2009-2295, ESB-2009.1044
ID: ae-200907-026

In 'djbdns', einem Domain Name System Server, wurde eine Sicherheitslücke gefunden, die ein Angreifer mit Kontrolle über eine fremde Subdomain, die von 'tinydns' und 'axfrdns' bedient wird, ausnutzen kann um DNS Antworten mit beliebigen Records zu verbreiten.
In 'CamlImages', einer Bibliothek zur Bildverarbeitung, wurden mehrere Pufferüberläufe auf dem Heap gefunden, durch ein ein Angreifer beliebigen Code ausführen kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Sun Solaris, OpenSolaris
Topic: Schwachstellen in Tomcat
Links: Sun Alert #263529, CVE-2008-5515, CVE-2009-0033, CVE-2009-0580, CVE-2009-0781, CVE-2009-0783, ESB-2009.1041
ID: ae-200907-025

Im Tomcat JSP/Servlet Container, der mit Solaris 9 und 10 und OpenSolaris ausgeleifert wird, wurden mehrere Sicherheitslücken gefunden. Patches stehen zur Verfügung.

System: VMWare ESX Server
Topic: Sicherheitslücken in VMware ESX Service Console
Links: VMSA-2009-0008, CVE-2009-0034, CVE-2009-0037, CVE-2009-1185, ESB-2009.1039
ID: ae-200907-024

In den Programmen 'udev', 'sudo' und 'curl' der ESX Service Console wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstelle in sork-passwd-h3
Links: DSA-1829, CVE-2009-2360, ESB-2009.1040
ID: ae-200907-023

In 'sork-passwd-h3', einem Horde3 Modul, mit dem Benutzer ihr Passwort ändern können, wurde ein Fehler gefunden, durch den Cross-Site-Scripting Angriffe möglich sind. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstelle in Drupal Third Party Modul
Links: DRUPAL-SA-CONTRIB-2009-041, ESB-2009.1033
ID: ae-200907-022

Im Third-Party Drupal Modul "Nodequeue" wurde eine Sicherheitslücke gefunden, durch die Cross-Site Scripting (XSS) Angriffe durchgeführt werden können. Verbesserte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

System: Apple Mac OS X, Microsoft Windows
Topic: Schwachstellen in Safari
Links: APPLE-SA-2009-07-08-1, CVE-2009-1724, CVE-2009-1725, ESB-2009.1034
ID: ae-200907-021

In Apple Safari wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstellen in WordPress
Links: CVE-2008-0196, CVE-2009-2334, CVE-2009-2335, CVE-2009-2336, ESB-2009.1035
ID: ae-200907-020

In WordPress wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Sun OpenSolaris
Topic: Schwachstelle im OpenSolaris Process File System
Links: Sun Alert 258828, CVE-2009-2387, ESB-2009.1037
ID: ae-200907-019

Im Process File System (proc(4)) von OpenSolaris wurde eine Sicherheitslücke gefunden, durch die ein lokaler Angreifer eine System Panik verursachen kann. Patches stehen jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstelle in Adobe ColdFusion
Links: APSB09-09, CVE-2009-2265
ID: ae-200907-018

Im 'FCKEditor', der mit Adobe ColdFusion geliefert wird, wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk Dateine in beliebige Verzeichnisse laden kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstellen in httpd
Links: CVE-2009-1890, CVE-2009-1891, RHSA-2009-1148, ESB-2009.1036, MDVSA-2009:149, TLSA-2009-21, RHSA-2009-1155, ESB-2009.1058, DSA-1834, ESB-2009.1060
ID: ae-200907-017

In den Modulen "mod_proxy" und "mod_deflate" des Apache Webservers 'httpd' wurden Sicherheitslücken gefunden, durch die Denial-of-Service Angriffe möglich sind. Fehlerbereinigte Pakate stehen jetzt zur Verfügung.

System: SuSE Linux
Topic: Schwachstellen in optipng, cups, quagga, pango, strongswan, perl-DBD-Pg, irssi, openssl/libopenssl-devel, net-snmp, ImageMagick/GraphicsMagick, perl, ipsec-tools/novell-ipsec-tools, poppler/libpoppler3/libpoppler4, yast2-ldap-server, tomcat6, gstreamer-plugins/gstreamer010-plugins-bad und apache2-mod_php5
Links: SUSE-SR:2009:011
ID: ae-200907-016

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen optipng, cups, quagga, pango, strongswan, perl-DBD-Pg, irssi, openssl/libopenssl-devel, net-snmp, ImageMagick/GraphicsMagick, perl, ipsec-tools/novell-ipsec-tools, poppler/libpoppler3/libpoppler4, yast2-ldap-server, tomcat6, gstreamer-plugins/gstreamer010-plugins-bad und apache2-mod_php5 Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

System: Mandriva Linux
Topic: Schwachstellen im Kernel
Links: MDVSA-2009:148, CVE-2009-1385, CVE-2009-1389, CVE-2009-1930, CVE-2009-1933, CVE-2009-1961, ESB-2009.1031
ID: ae-200907-015

Im Linux Kernel wurden mehrere Sichehrheitslücken gefunden. Ein Kernel-Update steht jetzt zur Verfügung.

System: NetBSD
Topic: Schwachstellen in OpenSSL
Links: NetBSD-SA2009-008, CVE-2009-0590, CVE-2009-0591, CVE-2009-0789,
NetBSD-SA2009-009, CVE-2009-1377, CVE-2009-1378, CVE-2009-1379, CVE-2009-1386, CVE-2009-1387, ESB-2009.1032
ID: ae-200907-014

In der OpenSSL Bibliothek 'libcrypto' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstellen in ipplan und ocsinventory-agent
Links: DSA-1827, CVE-2009-1732, ESB-2009.1027,
DSA-1828, CVE-2009-0667, ESB-2009.1030
ID: ae-200907-013

In 'ipplan', einer IP Adress Management Webapplikation, wurde eiin Fehler bei der Überprüfung von Eingabewerten gefunden, durch den Cross-Site-Scripting Angriffe möglich sind.
Der 'ocsinventory-agent' weist einen unsicheren Perl Modul Such Pfad auf.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: Sun Solaris, OpenSolaris
Topic: Schwachstellen in UDP, NFSv4 und smnpd
Links: Sun Alert #262048, CVE-2009-2297, ESB-2009.1019,
Sun Alert #262668, CVE-2009-2296, ESB-2009.1020,
Sun Alert #262708, CVE-2008-4309, ESB-2009.1021
ID: ae-200907-012

Durch einen Fehler in der UDP(7p) Funktionalität des Solaris Kernels kann ein lokaler Angreifer eine System Panik verursachen.
Eine Sicherheitslücke im Solaris NFSv4 Server Kernel Module ermöglicht es einem Angreifer über das Netzwerk beliebige Dateien zu lesen und zu schreiben.
Im System Management Agent (SMA) SNMP Daemon (snmpd(1M)) von Solaris wurde ein Pufferüberlauf auf dem Heap gefunden, durch den ein Angreifer über das Netzwerk einen Deanil-of-Service Zustand herbei führen kann.
Patches stehen zur Verfügung.

System: Debian GNU/Linux
Topic: Schwachstellen in nagios und eggdrop
Links: DSA-1825, CVE-2009-2288, ESB-2009.1025,
DSA-1826, CVE-2007-2807, CVE-2009-1789, ESB-2009.1024
ID: ae-200907-011

Im 'statuswml.cgi' Script von Nagios wurde ein Fehler gefunden, durch den beliebige Shell Befehle ausgeführt werden können.
Ein Pufferüberlauf in 'eggdrop' ermöglicht es Angreifern über das Netzwerk beliebigen Code auszuführen.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

System: SuSE Linux
Topic: Viele Schwachstellen in java-1_6_0-ibm
Links: SUSE-SA:2009:036,ESB-2009.1015
ID: ae-200907-010

Der nun veröffentlichte IBM Java 6 SR 5 behebt viele Fehler und kritische Sicherheitsprobleme, die u.a. zu unerwünschtem Zugang zu lokalen Daten, die Ausführung beliebigen Codes sowie Denial-of-Service (DoS) führen können. Es wird empfohlen, das aktuelle Update zeitnah zu installieren, das über YOU zur Verfügung steht.

System: Sun Solaris
Topic: Schwachstelle im Ultra-SPARC T2 crypto provider Device Driver
Links: CVE-2009-2137, ESB-2009.1018
ID: ae-200907-009

Ein Speicherleck im Solaris Ultra-SPARC T2 Crypto Provider Device Driver (n2cp(7D)) kann zu einem Denial-of-Service (DoS) gegen das gesamte System führen. Patches für Sun Solaris und OpenSolaris stehen jetzt zur Verfügung.

System: Red Hat Linux
Topic: Schwachstellen in openswan, pidgin und ruby
Links: RHSA-2009-1138, CVE-2009-2185, ESB-2009.1012,
RHSA-2009-1139, CVE-2009-1889, ESB-2009.1013,
RHSA-2009-1140, CVE-2007-1558, CVE-2009-0642, CVE-2009-1904, ESB-2009.1014
ID: ae-200907-008

In 'pluto' IKE Daemon von Openswan wurden mehrere Fehler bei der Überprüfung von Feldern in X.509 Zertifikaten gefunden. Ein Angreifer kann mit bösartig konstruierten X.509 Zertifikaten 'pluto' zum Absturz bringen.
In der Implementierung des OSCAR Protokolls in Pidgin wurde ein Fehler gefunden, der Denial-of-Service Angriffe ermöglicht.
In 'ruby' wurden mehrere Sicherheitslücken gefunden.
Fehlerbereinigte Pakate stehen jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstelle in Drupal Third Party Modul
Links: DRUPAL-SA-CONTRIB-2009-040, ESB-2009.1000
ID: ae-200907-007

Im Third-Party Drupal Modul "Advanced Forum" wurde eine Sicherheitslücke gefunden, durch die Cross-Site Scripting (XSS) Angriffe durchgeführt werden können. Verbesserte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

System: Verschiedene
Topic: Verschiedene Schwachstellen in Drupal Core
Links: DRUPAL-SA-CORE-2009-007, ESB-2009.1008
ID: ae-200907-006

In Komponenten der Drupal Core wurden Schwachstellen bekannt, die durch verbesserte Software jetzt geschlossen werden können.

System: VMware ESX
Topic: Schwachstelle in krb5
Links: CVE-2009-0846, ESB-2009.1011
ID: ae-200907-005

Im 'krb5' Paket der ESX Service Console wurde eine Sicherheitslücke gefunden. Patches stehen jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstelle in Sun Java Web Console
Links: Sun Alert #262428, CVE-2009-2283, ESB-2009.1010
ID: ae-200907-004

In der Sun Java Web Console wurden mehrere Cross-Site-Scripting (XSS) Schwachstellen gefunden. Patches stahen jetzt zur Verfügung.

System: HP-UX
Topic: Schwachstelle in NFS/ONCplus
Links: HPSBUX02440 SSRT090106, CVE-2009-1421, ESB-2009.1007
ID: ae-200907-003

In NFS/ONCplus auf HP-UX Systemen wurde eine Sicherheitslücke gefunden, durch die ein lokaler Angreifer einen Denial-of-Service Zustand herbeiführen kann. Patches stehen jetzt zur Verfügung.

System: Verschiedene
Topic: Schwachstelle in Sun Java System Access Manager
Links: Sun Alert #256568, ESB-2009.1005
ID: ae-200907-002

Im Sun Java System Access Manager Cross-Domain Controller (CDC) wurde eine Cross-Site-Scripting (XSS) Schwachstelle gefunden. Patches stahen jetzt zur Verfügung.

System: NetBSD
Topic: Schwachstellen in ssh, ntp und hack
Links: NetBSD-SA2009-005, ESB-2009.1022,
NetBSD-SA2009-006, ESB-2009.1003, CVE-2009-0159, CVE-2009-1252,
NetBSD-SA2009-007
ID: ae-200907-001

Im SSH Protokoll wurde einr Schwachstelle gefunden, wenn ein CBC Mode Cipher verwendet wird.
In ntp wurden zwei Pufferüberläufe gefunden, durch die ein Angreifer über das netzwerk beliebigen Code ausführen kann.
In hack(6) wurden mehrere Pufferüberläufe gefunden.
Fehlerbereinigte Software steht jetzt zur Verfügung.



(c) 2000-2017 AERAsec Network Services and Security GmbH