Im IBM Tivoli Storage Manager FastBack wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Drupal Third Party Modul Domain access, Imagemenu und memcache wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

In 'moodle', einer Software für Online-Lernplattformen, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Linux Kernel von Red Hat Enterprise Linux 5 wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

In ASP.NET wurde eine Sicherheitslücke bei der Verschüsselung gefunden, durch die ein Angreifer vertrauliche Informationen erlangen kann. Ein Hotfix steht bislang nur im Microsoft Download Center zur Verfügung.

Im Linux Kernel wurde eine Sicherheitslücke gefunden. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

In 'MikMod' wurden mehrere Pufferüberläufe gefunden, durch die bösartig konstruierte Musikdateien beliebigen Code ausführen können. Fehlerbereinigte Pakete stahen jetzt zur Verfügung.

In der Cisco IOS Software wurden mehrere Sicherheitslücken gefunden. Betroffen sind die Implementierungen der Protokolle H.323, SIP, IGMP, NAT und SSL VPN. Cisco bietet seinen Kunden freie Software-Updates an, um diese Lücken zu schließen.

Im Cisco Unified Communications Manager wurden zwei Denial-of-Service Sicherheitslücken in der Implementierung von SIP gefunden. Cisco bietet seinen Kunden freie Software-Updates an, um diese Lücken zu schließen.

Im caching Webproxy 'squid3' wurde eine Möglichkeit zu Denial-of-Service Angriffen mit leeren Zeichenketten gefunden.
Im Linux Kernel wurden mehrere Sicherheitslücken gefunden.
Iin 'pcsc-lite' wurden mehrere Sicherheitslücken gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Bei der HP System Management Homepage (SMH) für Linux und Windows wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im HP OpenView Network Node Manager wurden einr Sicherheitslücke gefunden. Patches stehen jetzt zur Verfügung.

In Adobe Flash Player wurde eine kritische Sicherheitslücke gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Adobe Reader und Adobe Acrobat sind ebenfalls betroffen. Diese Lücke wird bereits aktiv ausgenutzt. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im HP-UX Directory Server und dem Red Hat Directory Server for HP-UX wurde eine Sicherheitslücke gefunden, durch die ein Angreifer vertrauliche Informationen oder erweiterte Rechte erlangen kann. Ein Patch steht jetzt zur Verfügung.

Im Git Revision Control System wurde eine Sicherheitslücke gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen java-1_4_2-ibm, sudo, libpng, php5, tgt, iscsitarget, aria2, pcsc-lite, tomcat5, tomcat6, lvm2, libvirt, rpm, libtiff und dovecot12. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

In Adobe Flash Player wurde eine kritische Sicherheitslücke gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Adobe Reader und Adobe Acrobat sind ebenfalls betroffen. Diese Lücke wird bereits aktiv ausgenutzt. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Kernel von openSUSE 11.3 wurden mehrere Sicherheitslücken gefunden, die jetzt durch fehlerbereinigte Kernelpakete geschlossen werden können.

Im Linux Kernel von Red Hat Enterprise Linux 5 wurde eine Sicherheitslücke gefunden, durch die ein lokaler Angreifer auf einem 64 Bit System erweiterte Rechte erlangen kann. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

In 'drupal6', einem Content Management Framework, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der "BZ2_decompress" Funktion von 'bzip2/libbz2' wurde ein Integerüberlauf gefunden, durch den eine bösartig konstruierte .bz2 Datei beliebigen Code ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Linux Kernel wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer einen Denial-of-Service Zustand herbeiführen oder erweiterte Berechtigungen erlangen kann.
Im caching Webproxy 'squid3' wurde eine Möglichkeit zu Denial-of-Service Angriffen mit leeren Zeichenketten gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Nameserver 'BIND' von HP-UX wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk einen Denial-of-Service Zustand herbeiführen kann. Ein Patch steht jetzt zur Verfügung.

In Samba wurde ein Pufferüberlauf bei der Verarbeitung von Windows Security Identifiers (SIDs) gefunden, durch den bösartig generierte SMB Anfragen beliebigen Code mit den Rechten des 'smbd' Daemon ausführen können. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Novell PlateSpin Orchestrate besteht ein Problem beim Rendern von Graphen. Die Applikation gibt von Benutzern übergebene Argumente ohne ausreichende Überprüfung weiter. Hierdurch kann ein Angreifer im Prinzip beliebigen Code im Kontext der entsprechenden Applikation ausführen lassen. Novell hat ein Update für das Novell eDirectory herausgegeben, um dieses Problem zu beseitigen.

Beim QuickTime ActiveX control besteht ein Problem mit der Überprüfung von Eingaben. Daher kann von einem Webserver aus die Applikation terminiert und ggf. auch beliebiger Code auf dem anfälligen System ausgeführt werden. Weiterhin besteht beim QuickTime Picture Viewer ein Problem bei der Suche in Pfaden. Sofern ein Angreifer eine präparierte DLL in das gleiche Verzeichnis wie eine Bilddatei speichert, wird beim Öffnen des Bildes beliebiger Code ausgeführt. QuickTime 7.6.8 steht ab sofort zur Verfügung und behebt diese Probleme.

In den oben genannten Paketen wurden diverse Sicherheitslücken gefunden, die u.a. zur unberechtigten Ausführung von Code, Cross-Site Scriptinb (XSS) und anderen unerwünschten Effekten führen können. Überarbeitete Pakete stehen jetzt zur Verfügung.

Bei der 3Com OfficeConnect Gigabit VPN Firewall (3CREVF100-73) besteht eine potenzielle Schwachstelle, die Angreifern über das Netzwerk einen Cross-Site Scripting (XSS) Angriff ermöglicht. Ein Update steht jetzt zur Verfügung.

Beim Lotus Domino iCalendar besteht die Möglichkeit, dass ein Angreifer mittels einer sog. Calendar Invitation einen Pufferüberlauf auslösen kann. Hierdurch wird dann auf dem Domino Server beliebiger Code ausführbar. Ein Update behebt dieses potenzielle Problem.

Beim Einsatz der Sprachenoptionen für Chinesisch, Japanisch oder Koreanisch kann ein angemeldeter Benutzer seine Rechte aufgrund eines Fehlers in Windows erweitern. Ein Hotfix steht zur Verfügung.

Ein Fehler im LSASS betrifft Microsoft Active Directory, Active Directory Application Mode (ADAM) und Active Directory Lightweight Directory Service (AD LDS). Hier kann ein angemeldeter Benutzer über eine spezielle LDAP-Anfrage seine Rechte erweitern. Ein Hotfix steht zur Verfügung.

Wird eine von einem Angreifer präparierte Datei mit WordPad geöffnet, besteht die Gefahr, dass aufgrund eines Fehlers im Textkonverter beliebiger Code ausgeführt wird. Ein Hotfix steht zur Verfügung.

Spezielle Antworten von RPC Clients können dafür sorgen, dass auf anfälligen Systemen beliebiger Code ausgeführt werden kann. Ein Hotfix steht zur Verfügung.

Drei Lücken bestehen im IIS, die eine Ausführung beliebigen Codes zur Folge haben können. Ausgelöst wird dies durch spezielle HTTP-Anfragen an den Server. Ein Hotfix steht zur Verfügung.

Ein heapbasierter Pufferüberlauf beim Öffnen von E-Mail Nachrichten mit Outlook kann die Ausführung beliebigen Codes zur Folge haben. Ein Hotfix steht zur Verfügung.

Im Unicode Scripts Processor wurde eine Lücke nachgewiesen, die von Angreifern zur Ausführung beliebigen Codes ausgenutzt werden kann, wenn ein Benutzer eine speziell präparierte Webseite abruft. Ein Hotfix steht zur Verfügung.

Eine Sicherheitslücke im MPEG-4 Codec birgt die Gefahr, dass beim Empfang präparierter Streamingdaten auf einem anfälligen System beliebiger Code zur Ausführung gebracht wird. Ein Hotfix steht zur Verfügung.

Bei Geräten, die mit den RPC-Services über das Netzwerk erreichbar sind, kann ein Angreifer durch das Senden spezieller Druckaufträge beliebigen Code auf dem anfälligen System ausführen lassen. Ein Hotfix steht zur Verfügung.

In Adobe Flash Player wurde eine kritische Sicherheitslücke gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Adobe Reader und Adobe Acrobat sind ebenfalls betroffen. Diese Lücke wird bereits aktiv ausgenutzt. Patches stehen noch nicht zur Verfügung.

Im Kernel von SUSE SLES/SLED 11 SP1 wurden mehrere Sicherheitslücken gefunden, die jetzt durch fehlerbereinigte Kernelpakete geschlossen werden können.

Im Apache Tomcat Servlet Container wurden mehrere Sicherheitslücken gefunden.
In Samba wurde ein Pufferüberlauf bei der Verarbeitung von Windows Security Identifiers (SIDs) gefunden, durch den bösartig generierte SMB Anfragen beliebigen Code mit den Rechten des 'smbd' Daemon ausführen können.
Fehlerbereinigte Pakete stahen jetzt zur Verfügung.

In 'cvsnt', einer Multi-Platform Version von CVS, wurde eine Sicherheitslücke bei der Authentisierung gefunden. Ein Angreifer kann Schreibzugriff auf alle Module und Verzeichnisse erlangen, auch auf CVSROT. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im HP Data Protector Express und der HP Data Protector Express Single Server Edition (SSE) auf Microsoft Windows, Linux und NetWare wurde eine Sicherheitslücke gefunden, durch die ein lokaler Angreifer einen Denial-of-Service Zustand herbeiführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Drupal Third Party Modul Yr Weatherdata wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

In 'couchdb', einer NOSQL Datenbank, wurde eine Sicherheitslücke beim Suchpfad für Bibliotheken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In Apple iOS für iPhone und iPod touch wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Die Cisco Wireless LAN Controller (WLC) Produktfamilie weist mehrere Sicherheitslücken auf. Cisco hat für die betroffenen Kunden ein Software-Update herausgegeben.

In Adobe Reader und Adobe Acrobat wurde eine kritische Sicherheitslücke gefunden, durch die ein Angreifer beliebigen Code ausführen kann. Diese Lücke wird bereits aktiv ausgenutzt. Patches stehen noch nicht zur Verfügung.

Für den Webbrowser Safari stehen ab sofort die Versionen 4.1.2 und 5.0.2 zur Verfügung. Mit diesen Versionen werden verschiedene Sicherheitslücken geschlossen, so dass ältere Versionen nicht mehr zum Einsatz kommen sollten.

Im Linux Kernel wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

In 'sudo' wurde eine Sicherheitslücke gefunden, wenn eine "Runas" Anweisung sowohl eine User- als auch eine Gruppenliste enthält.
Durch einen Fehler im RPM Package Manager kann eine lokaler Benutzer mit einem Hardlink verhindern, dass ein Paketupdate die setuid und setgid Rechte eines Programms entfernt.
Fehlerbereinigte Pakete stahen jetzt zur Verfügung.

In der Bibliothek "FreeType" wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen hiervon sind Thuderbird und Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Kernel von SUSE SLES/SLED 10 wurden mehrere Sicherheitslücken gefunden, die jetzt durch fehlerbereinigte Kernelpakete geschlossen werden können.

In der BGP Impelmentierung von "Quagga" wurden zwei Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Aufgrund eines internen Fehlers bei der Barbeitung von Strings durch Squid besteht die Gefahr eines Denial-of-Service (DoS) Angriffs. Im Prinzip kann jeder bekannte Client ihn mit einer speziellen Anfrage auslösen. Überarbeitete Software sowie Patches stehen jetzt zur Verfügung.

Barnowl ist ein curses-basierter Client für Instant Messaging. Die Rückgabewerte der Funktionen ZPending und ZReceiveNotice in der Bibliothek libzephyr werden nicht ausreichend genau überprüft, so dass ein Angreifer hier die Möglichkeit zu einem Denial-of-Service (DoS) und ggf. auch zur Ausführung beliebigen Codes hat.
Das PHP-basierte Tool für die Verwaltung von DNS-Zonen im BIND zeigt eine Lücke, weil auch hier Eingaben nicht ausreichend genau geprüft werden. Ein nicht authentifizierter Angreifer kann daher beliebige SQL-Kommandos ausführen oder auch Zugang zum administrativen Account erhalten.
Verbesserte Pakete stehen jetzt zur Verfügung.

Bei GNU Wget 1.12 und früher besteht eine Schwachstelle. Wget nimmt den vom Server gegebenen Dateinamen anstelle des Original-URL um die Zieldatei des Downloads festzulegen. Von einem Server aus können daher mittels Umleitungen auf dem anfragenden Rechner Dateien angelegt und ggf. auch Code ausgeführt werden. Verbesserte Software steht zur Verfügung.

Beim HP Operations Agent unter Windows wurde eine potenzielle Schwachstelle gefunden. Durch sie kann ein lokaler Benutzer seine Rechte erweitern bzw. es kann auch beliebiger Code über das Netzwerk ausgeführt werden. Ein Hotfix steht zur Verfügung.

Ab sofort steht Apple iTunes 10 zur Verfügung. Hierdurch werden mehrere Schwachstellen in WebKit geschlossen, daher sollte nur noch diese Version zum Einsatz kommen.

Im Kernel von SUSE SLES 9, Open Enterprise Server und Novell Linux POS 9wurden mehrere Sicherheitslücken gefunden, die durch fehlerbereinigte Kernelpakete geschlossen werden können.