In Apache Tomcat vor Version 5.5.35, 6.0.35 und 7.0.23 ist es durch die verwendete Hashfunktion bei der Auswertung von Formularparametern möglich, Kollisionen in vorhersehbarer Weise zu berechnen. Dies erlaubt einem entfernten Angreifer einen Denial of Service (DoS) Angriff durchzuführen, indem er Formulardaten sendet, deren Werte zu Hashkollisionen führen. Neue Pakete stehen zur Verfügung, um diese Schwachstelle zu beseitigen.

Im IAX2 Channel Treiber von Asterisk existiert eine Schwachstelle, die von entfernten Angreifern für einen Denail of Service (DoS) ausgenutzt werden kann. Um diese Schwachstelle ausnutzen zu können, müssen die nachfolgenden einstellungen getätigt sein: 1. Die Einstellung mohinterpret=passthrough muss aktiviert sein, um einen Anruf in die Warteschleife zu leiten. 2. Eine Verbindung muß bestehen. 3. Das Gespräch wird gehalten, ohne das für die Wartemusik ein empfohlener Namen verwendet wird. Wenn diese Bedingungen erfüllt sind, wird Asterisk versuchen, einen ungültigen Pointer für den Klassennamen der Wartemusik verwenden. Die Nutzung des ungültigen Zeigers verursacht entweder einen Absturz oder Klassenname der Wartemusik wird ungültig sein. Aktualisierte Pakete sind jetzt verfügbar.

Aktualisierte OpenSSL Pakete, welche eine Schwachstelle und einen Bug beseitigen, sind jetzt für Red Hat Enterprise Linux 5 verfügbar.

Aktualisierte Kernel Pakete, welche eine Schwachstelle und diverse Bugs beheben, sind jetzt für Red Hat Enterprise Linux 5 verfügbar.

Mehrere Schwachstellen wurden im Request Tracker, einem Ticket System, entdeckt. Aktualisierte Pakete sind ab sofort verfügbar, um diese Scwachstellen beseitigen.

Mehrere Schwachstellen wurden in ncpfs entdeckt und korrigiert . Aktualisierte Pakete sind ab sofort verfügbar.

Mehrere Schwachstellen wurden in inutil-linux entdeckt und korrigiert . Aktualisierte Pakete sind ab sofort verfügbar.

Eine Schwachstelle in JIRA wurde erkannt und konnte behoben werden. Diese Schwachstelle ermöglicht einem Angreifer, wenn dieser ein authentifizierter JIRA Benutzer ist, Denial of Service Attacken (DoS) gegen den JIRA-Server auszuführen. Ein Patch steht zur Verfügung.

Die Art und Weise, in der Bibliotheksdateien geladen werden, kann zur Erweiterung von Benutzerrechten führen. Ein entsprechender Patch steht jetzt zur Verfügung.

Measuresoft ScadaPro kann Angreifern die Möglichkeit bieten, auf anfälligen Systemen beliebigen Code auszuführen. Die Applikation überprüft beim Betrieb unter Microsoft Windows voll qualifizierte Pfade nicht direkt gegenüber DLLs. Wenn ein Benutzer überzeugt wird, eine präparierte Datei über WebDAV oder SMB zu öffnen, kann über die DLL auf dem System beliebiger Code ausgeführt werden. Ein entsprechender Patch steht jetzt zur Verfügung.

Beim dotCMS Content Management System Version 1.9 und möglicherweise auch früher zeigt eine Schwachstelle. Sie kann von authentifizierten Benutzern ausgenutzt werden, um mit Hilfe präparierter XSLT oder Velocity Templates auf dem betroffenen System beliebigen Java Code ausführen zu können. Bei dotCMS Version 1.9.5.1 bzw. 2.0.1 ist dieses Problem behoben.

Bei EMC AutoStart bestehen mehrere Sicherheitslücken, die aufgrund von Pufferüberläufen Angreifern das Auslösen von Denial-of-Service und möglicherweise auch die Ausführung beliebigen Codes über das Netzwerk im Kontext der betroffenen Appliakation erlauben. Updates stehen für registrierte Kunden zur Verfügung.

In Request Tracker, einem Trackingsystem, wurden verschiedene Sicherheitslücken bekannt. Sie können ausgenutzt werden, um unter anderem über das Netzwerk beliebigen Code auszuführen, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) oder andere Angriffe auszuführen. Verbesserte Pakete stehen zur Verfügung; sie sollten zeitnah installiert werden.

Das Lotus Quickr ActiveX Control von Lotus Domino ist gegenüber einem stackbasierten Pufferüberlauf empfindlich. Wenn ein Benutzer überzeugt wird, eine speziell präparierte Webseite zu besuchen, kann von hier aus ein überlanges Argument an die unsicheren Methoden Attachment_Times() oder Import_Times() übergeben werden. Als Folge kann der Angreifer die Lücke ausnutzen, um auf dem anfälligen System beliebigen Code auszuführen oder zumindest die Applikation zum Absturz zu bringen. Ein Fix, der dieses Problem adressiert, steht zur Verfügung.

Symantec Endpoint Protection ist gegenüber einem Denial-of-Service (DoS) bei der Verarbeitung von Scans empfindlich. Ausgenutzt werden kann diese Lücke von Angreifern über das Netzwerk.
Symantec Endpoint Protection kann Angreifern auf dem System sog. Directory Traversals erlauben. Hierzu schickt ein Angreifer über das Netzwerk einen speziellen URL-Request an die Management Console. Ist der Angriff erfolgreich, kann ein Angreifer u.a. auf der Management Console beliebige Dateien löschen und sie damit funktionsunfähig machen. .
Updates stehen jetzt zur Verfügung.

Der frei verfügbare Server Tftpd32 ist gegenüber einem Denial-of-Service (DoS) empfindlich. Um den DoS zu triggern genügt das Senden eines speziellen DHCP Discover Pakets. Ein Hotfix steht derzeit noch nicht zur Verfügung.

Eine Schwachstelle in Citrix XenApp kann zu einem Denial-of-Service ausgenutzt werden. Betroffen hiervon sind alle Versionen von Citrix XenApp, früher bekannt als Presentation Server, bis einschließlich Version 6.5. Um diese Lücke auszunutzen muss ein Angreifer die Möglichkeit haben, direkt aur den XenApp Server zuzugreifen. Ein Hotfix zum Schließen dieser Lücke steht jetzt zur Verfügung.

Sudo macht beim Parsen von Netzwerkmasken in Host und Host_List Fehler. Sie können von Angreifern dazu genutzt werden, an Hosts Kommandos zu senden, obwohl bestimmte Kommandos hier nicht ausgeführt werden dürfen. Weiterhin besteht in libxml2 ein sog. Off-By-One Fehler, der als Folge die Ausführung beliebigen Codes durch Angreifer haben kann. Verbesserte Pakete stehen jetzt zur Verfügung.

Beim Seagate BlackArmor Network Attached Storage Device wird eine statische PHP-Datei für das Zurücksetzen des administrativen Passwortes genutzt. Ein Angreifer mit Zugang zum Web-Interface kann es durch den Aufruf einer speziellen URL zurücksetzen und so Zugang zum System erhalten. Da derzeit noch kein Patch zur Verfügung steht, sollte der Zugang zu dem Gerät strikt kontrolliert werden.

Das LDAP Backend Plugin für BIND führt die Fehlerbehandlung für LDAP-Verbindungen bzw. LDAP-Suchanfragen für bestimmte DNS-Anfragen fehlerhaft durch. Dies ermöglicht einem entfernten Angreifer durch das Senden einer bestimmten DNS-Anfrage, für die ein LDAP Backend Plugin für BIND zuständig ist, einen Denial-of-Service auszulösen. Neue Pakete sind verfügbar.

Ein Update für die Apache Tomcat 5 Komponente für JBoss Enterprise Web Server 1.0.2, welche mehrere Schwachstellen und zwei Bugs behebt, ist ab sofort im Red Hat Kundenportal verfügbar.

Aktualisierte postgresql, welche zwei Schwachstellen beheben, sind jetzt für Red Hat Enterprise Linux 5 verfügbar.

Aktualisierte KVM-Pakete, welche zwei Schwachstellen und einen Fehler beheben, sind jetzt für Red Hat Enterprise Linux 5 verfügbar.

Es wurden mehrere Schwachstellen in der Symantec Web Gateway Management-GUI entdeckt. Die Management-GUI ist anfällig für Cross-Site Scripting (XSS) Attacken. Ein erfolgreicher Angriff könnte das Ausführen beliebigen Codes mit den Rechten der Anwendung, Denial of Service (DoS) Attacken durch willkürliches Löschen von Systemdateien, und den unbefugten Zugriff auf Daten der Nutzer oder geschützte Netzwerkinformationen ermöglichen.

Eine Schwachstelle im Pidgin-Plugin OTR erlaubt einem entfernten Angreifer schlimmstenfalls beliebigen Code mit den Rechten der Client-Anwendung zur Ausführung zu bringen. Neue Pakete sind verfügbar.

In dem Mailinglisten-Manager Sympa sind Schwachstellen vorhanden, die die Mechanismen für die "scenario-basierte"-Authorisation außer Kraft setzen. Dies erlaubt entfernten Angreifer die Verwaltungsseite für Archive aufzurufen, Archive zu löschen oder diese herunterzuladen. Neue Pakete sind verfügbar.

Sudo 1.6.x und 1.7.x und 1.8.x unterstützt Konfigurationen die eine Netzmasken Syntax verwenden nicht ordnungsgemäß, welches es lokalen Benutzern erlaubt vorgesehene Befehlseinschränkungen zu umgehen, indem Befehle auf einem IPv4 Host ausgeführt werden. Neue Pakete sind verfügbar.

Sofern bei OpenVMS ACMELOGIN der Systemservice SYS$ACM zur Authentifizierung eingeschaltet ist, besteht ein potenzielles Problem. Die Lücke kann lokal ausgenutzt werden, um dann unautorisierten Zugang und erweiterte Rechte zu erhalten. HP hat entsprechende Patch Kits veröffentlicht.

In ImageMagick, einer Software u.a. zum Bearbeiten von Rastergrafiken, wurden verschiedene Schwachstellen gefunden. Da es sich hierbei teilweise auch um kritische Lücken handelt, empfiehlt sich das jetzt verfügbare Update.

IBM Cognos zeigt verschiedene Möglichkeiten, stackbasierte Pufferüberläufe zu provozieren. Grund hierfür ist eine nicht ausreichend genaue Überprüfung von Grenzen durch die ausführbare Datei tm1admsd.exe. Wenn ein Angreifer ein speziell präpariertes Paket schickt, kann es zu einem Pufferüberlauf kommen, durch den die Applikation abstürzt und ggf. auch beliebiger Code ausgeführt werden kann. Ein Patch steht jetzt zur Verfügung.

Bei OpenOffice.org wird bei der Verarbeitung spezieller JPEG-Objekte ein nicht ausreichend großer Speicherbereich allokiert, so dass es zu einem heapbasierten Pufferüberlauf und damit potenziell auch zur Ausführung beliebigen Codes kommen kann. Bei ikiwiki handelt es sich um einen Wiki-Compiler. Bestimmte Metadaten wie z.B. Kommentare werden nicht richtig verarbeitet, so dass hier Cross-Site Scripting (XSS) Angriffe möglich sind.
Aktualisierte Pakete stehen zur Verfügung.

Bei der Applikation HP Business Service Management (HPBSM) besteht eine Schwachstelle, durch die eine Ausführung beliebigen Codes auf einem anfälligen System möglich ist. HPBSM nutzt den JBOSS Application Server. In seiner Default-Konfiguration können offene Ports über das Netzwerk angesprochen werden, ohne dass eine Authentifizierung notwendig ist. Daher können Angreifer eine jsp-Shell als .war-Datei hochladen und im JBOSS Application Server als Service einbringen. Per Default läuft das Skript bzw. die Hintertür dann mit den Rechten von SYSTEM. Workarounds werden im Advisory beschrieben, ein Patch steht offensichtlich noch nicht zur Verfügung.

Eine Schwachstelle im Umgang mit "CBC Mode ciphersuites" in DTLS in OpenSSL kann einen Denial-of-Service (DoS) Angriff, sowohl auf Servern als auch auf Clients, zur Folge haben. Für einige Systeme stehen aktualisierte Pakete zum Download bereit.

Es wurde entdeckt, dass Benutzer, welchen es gestattet ist Aufträge an Grid Installationen zu übermitteln, in der Lage sind ihre Privilegien nach Root zu eskalieren, weil die Umgebung vor der Prozesserstellung nicht korrekt bereinigt wird. Ein neues Update ist verfügbar.

Potenzielle Schwachstellen wurden in der Java Runtime Umgebung (JRE) und im Java Developer Kit (JDK), unter HP-UX entdeckt. Diese Schwachstellen können die Ausführung von Remote code und Denial of Service (DoS) Attacken ermöglichen, sowie unbefugte Modifikation und die Weitergabe von Informationen zulassen. Ein neues Update ist verfügbar.

QuickTime Version 7.7.2, welche mehrere bekannte Schwachstellen behebt, ist ab sofort für Windows Plattformen verfügbar.

Aktualisierte Kernel Pakete, welche zwei Schwachstellen und einige Bugs zu beseitigen, stehen jetzt für Red Hat Enterprise Linux 6 zur Verfügung.

Das ClearQuest Maintenance Tool auf Microsoft Windows Plattformen enthält eine Funktion welche die Benutzer Datenbank aktualisiert. Diese Funktion ist Gegenstand von SQL-Injection Attacken. Ein neues Update ist verfügbar.

Mehrere Schwachstellen wurden in FFmpeg, einem Multimediaplayer, Multimediaserver und Mediaencoder entdeckt. Diese können von entfernten Angreifern ausgenutzt werden, um beliebigen Code auszuführen oder einen Denial of Service (DoS) auszulösen. Neue Updates sind verfügbar.

Der IRM Server in EMC Documentum Information Rights Management ermöglicht entfernten Angreifern, Denial of Service (DoS) Attacken auszuführen, wenn Zeilenvorschubzeichen in den ID-Felder von vielen "batch begin untethered" Befehlen verwendet werden. Ein neues Update ist verfügbar.

In WordPress, einem Web Blogging Tool, wurden verschiedene Sicherheitslücken gefunden. Ein entsprechendes Update steht jetzt bereit; es sollte zeitnah installiert werden.

Eine Schwachstelle im Umgang mit "CBC Mode ciphersuites" in DTLS in OpenSSL kann einen Denial of Service (DoS) Angriff, sowohl auf Servern als auch auf Clients, zur Folge haben. Neue Pakete stehen zum Download bereit.

Wird PHP vor Version 5.4.2 und 5.3.12 mittels CGI oder mod_cgid betrieben, so werden Parameter aus dem HTTP-Request an eine PHP-Datei direkt per Kommandozeile an php-cgi übergeben. Dies erlaubt entfernten Angreifern den Quelltext jeglicher PHP-Dateien durch Übergabe des Parameters "-s" einzusehen oder beliebige Befehle auszuführen. Neue Pakete stehen zum Download bereit.

Mehrere Schwachstellen wurden im Linux-Kernel entdeckt. Diese Schwachstellen können zu einem Denial of Service (DoS) oder zu Privilege Escalation führen. Neue Pakete stehen zum Download bereit.

In roundcubemail wurden verschiedene Sicherheitslücken gefunden. Sie betreffen Roundcube Webmail 0.5x und erlauben verschiedene Angriffe wie z.B. CSRF, XSS oder auch Denial-of-Service (DoS). Daher wird dieses Update empfohlen.

Rails ist ein auf Ruby basierendes Framework für die Web-Entwicklung. Wenn Entwickler die Tags für HTML-Optionen manuell anlegen, werden durch sie später Benutzereingaben nicht richtig umgewandelt, so dass Angreifer beliebigen HTML-Code in das Dokument injezieren können. Dies ist ein klassischer Cross-Site Scripting Angriff (XSS).
Mahara ist ein Werkzeug zum Aufbau von Portfolios, Weblogs und Lebensläufen. Hier gibt es eine unsichere Defaulteinstellung. Sofern SAML-basierte Authentifizierung mit mehr als einem SAML Identity Provider eingesetzt wird. Hier kann jemand mit Kontrolle über einen IdP auf Benutzer andere IdPs einwirken.
Apache POI ist eine Java-Implementierung der Microsoft Office Dateiformate. Hier besteht die Gefahr, dass beim Verarbeiten von Dokumenten beliebig viel Speicher allokiert wird, was einerseits die Stabilität der Java Virtual Machine beeinflussen, aber andererseits auch einen Denial-of-Service (DoS) als Folge haben kann.
Verbesserte Pakete stehen jetzt zur Verfügung.

Bei PHP hanelt es sich um eine verbreitete Skriptsprache, die meist in Kombination mit dem Apache HTTP Server genutzt wird. Die Verarbeitung von Argumenten, die über die Kommandozeile durch php-cgi im CGI Mode zeigt einen Fehler. Ein Angreifer kann mit einer speziellen Anfrage an ein PHP Skript dafür sorgen, dass der Soruce Code bekannt wird oder auch beliebiger Code mit den Rechten des PHP Interpreters ausgeführt wird.
Verbesserte Pakete stehen jetzt zur Verfügung.

Ab sofort steht der Webbrowser Safari in Version 5.1.7 zur Verfügung. Da hierdurch sehr einige Sicherheitslücken geschlossen werden, ist dieses Update dringend zu empfehlen.

Ab sofort steht OS X Lion v10.7.4 und das Security Update 2012-002 zur Verfügung. Da hierdurch sehr viele Sicherheitslücken geschlossen werden, ist dieses Update dringend zu empfehlen.

Es besteht eine Schwachstelle in AIX, die Angreifern über das Netzwerk erlaubt, RPC Services zu registrieren bzw. zu de-registrieren. Als Folge treten ein Denial-of-Service (DoS) auf bzw. es besteht für Angreifer die Möglichkeit, sensitive Informationen aus der Interprozess-Kommunikation abzugreifen. Gemacht wird ein solcher Angriff mit speziellen UDP-Paketen, die Servicekommandos enthalten. Fixes stehen jetzt zur Verfügung.

Adobe hat ein Sicherheitsupdate für Adobe Illustrator CS5.5 und früher für Windows und Macintosh herausgegeben. Dieses Upgrade behebt Schwachstellen, die Angreifern die volle Kontrolle über ein anfälliges System geben könnten. Auch behoben sind diese Probleme durch die Installation von Adobe Illustrator CS6.
Adobe hat ein Sicherheitsupdate für Adobe Photoshop CS5.5 und früher für Wondows und Macintosh veröffentlicht. Dieses Upgrade behebt eine Schwachstelle, durch die ein Angreifer die Kontrolle über das System erhalten kann. Anstelle des Updates kann auch Adobe Photoshop CS6 eingesetzt werden.
Adobe hat ein Sicherheitsupdate für Adobe Flash Professional CS5.5 (11.5.1.349) und früher für Windows und Macintosh veröffentlicht. Auch dieses Update verhindert, dass ein Angreifer volle Kontrolle über ein anfälliges System erhalten kann. Ebenso kann auch Adobe Flash Professional CS6 eingesetzt werden.
Adobe hat ein Sicherheitsupdate für Adobe Shockwave Player 11.6.4.634 und früher für Windows und Macintosh herausgegeben. mit diesem wird die Ausführung von Schadcode auf einem anfälligen System verhindert. Adobe empfiehlt Benutzern von Adobe Shockwave Player 11.6.4.634 und früher für Windows und Macintosh ein Update zum Adobe Shockwave Player 11.6.5.635.

Microsfot hat einen neuen Satz von ActiveX Kill Bits herausgegeben. Sie betreffen u.a. Cisco Clientless VPN Lösungen.

Aufgrund von zwei Sicherheitslücken können Angreifer mittels eines Servers auf einem anfälligen Client beliebigen Code zur Ausführung bringen. Notwendig hierfür ist ein Browser, der XAML Browser Applikationen unterstützt. Ein Hotfix steht zur Verfügung.

Zehn unterschiedliche Schwachstellen erlauben u.a. die Ausführung von beliebigen Code in den genannten Produkten. Entsprechende Verbesserungen stehen zur Verfügung.

Es besteht in der PnP-Option die Möglichkeit, dass aufgrund eines Fehlers im Partition Manager Angreifer beliebigen Code im Kernel-Mode zur Ausführung bringen und so ihre Rechte erweitern können. Ein Hotfix steht zur Verfügung.

Im TCP/IP besteht eine Double Free Schwachstelle bei der Behandlung von IPv6 Adressen. Weiterhin besteht die Möglichkeit zum Umgehen der Windows Firewall durch ausgehende Broadcasts. Ein Hotfix steht zur Verfügung.

Mit speziell präparierten Dateien im Visio-Format können Angreifer auf anfälligen Systemen beliebigen Code mit den Rechten des aufrufenden Benutzers zur Ausführung bringen. Ein Hotfix steht zur Verfügung.

In Microsoft Office bestehen verschiedene Schwachstellen, die ein Angreifer dazu ausnutzen kann, dass sein Code beim Öffnen der Dateien auf dem anfälligen System mit den Rechten des aufrufenden Benutzers ausgeführt werden. Ein Hotfix steht zur Verfügung.

Sofern ein Angreifer einen Benutzer überzeugen kann, eine von ihm präparierte RTF-Datei zu öffnen, kann er beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen. Ein Hotfix steht zur Verfügung.

Verschiedene potenzielle Sicherheitslücken wurden im HP Performance Insight for Networks unter HP-UX, Linux, Solaris und Windows gefunden. Sie können über das Netzwerk ausgenutzt werden, um SQL Injection und Cross-Site Scripting (XSS) Angriffe durchzuführen und auch die eigenen Rechte zu erweitern. HP hat einen Hotfix herausgegeben, mit dem diese Probleme behoben werden können.

Bei PHP hanelt es sich um eine verbreitete Skriptsprache, die meist in Kombination mit dem Apache HTTP Server genutzt wird. Die Verarbeitung von Argumenten, die über die Kommandozeile durch php-cgi im CGI Mode zeigt einen Fehler. Ein Angreifer kann mit einer speziellen Anfrage an ein PHP Skript dafür sorgen, dass der Soruce Code bekannt wird oder auch beliebiger Code mit den Rechten des PHP Interpreters ausgeführt wird.
Verbesserte Pakete stehen jetzt zur Verfügung.

Für Red Hat Enterprise Linux 5 und 6 stehen ab sofort neue httpd Pakete zur Verfügung, die verschiedene Sicherheitsprobleme und einen Fehler im JBoss Enterprise Web Server 1.0.2 beheben. Die Sicherheitslücken können u.a. dazu ausgenutzt werden, um über das Netzwerk einen Denial-of-Service (DoS) oder den Zugriff auf vertrauliche Daten zu erreichen. Daher wird dieses Update empfohlen.

Das Betriebssystem von Apple iPhone, iPad und iPod zeigt verschiedene Schwachstellen. Sie können ausgenutzt werden, um u.a. Cross-Site Scripting (XSS) Angriffe, Denial-of-Service (DoS) oder auch die Ausführung von Code über das Netzwerk zu ermöglichen. Daher wird ein Update auf Apple iOS 5.1.1 empfohlen.

Adobe hat Sicherheitsupdates herausgegeben für den Adobe Flash Player 11.2.202.233 und früher für Windows, Macintosh und Linux, den Adobe Flash Player 11.1.115.7 und früher für Android 4.x sowie für den Adobe Flash Player 11.1.111.8 und früher für Android 3.x und 2.x. diese Updates adressieren eine Schwachstelle, durch die die Applikations abstürzen und ein Angreifer über das Netzwerk möglicherweise auch die Kontrolle über ein anfälliges System erhalten kann.

Bei IBM AIX können lokale Benutzer erweiterte Rechte am System erhalten. Der Grund hierfür ist ein Fehler in der Funktion getpwnam(), der sich ausnutzen läßt, wenn die erweiterte Filterung nach LDAP-Benutzern konfiguriert ist. Fixes stehen jetzt zur Verfügung.

In Icedove, einer Version des Thunderbird Mail/News Clients, wurden verschiedene Lücken gefunden. Sie erlauben Angreifern über das Netzwerk die Durchführung von Cross-Site Scripting (XSS) Angriffen, die Ausführung beliebigen Codes sowie die Verbreitung falscher Informationen. Ein Update adressiert diese Probleme.

Für VMware Workstation, Player, ESXi und ESX stehen ab sofort Patches zur Verfügung. Durch sie werden Schwachstellen behoben, die Angreifern über das Netzwerk sowohl einen Denial-of-Service (DoS) als auch die Ausführung beliebigen Codes erlauben können. Daher wird die Installation der Patches dringend empfohlen.

In Citrix Provisioning Services besteht eine Schwachstelle, die über das Netzwerk dazu ausgenutzt werden kann, um auf dem betroffenen System beliebigen Code auszuführen. Sie kann durch einen Angreifer ausgenutzt werden, der nur ein spezielles Paket an den Provisioning Services Server schicken braucht. Verschiedene Hotfixes beheben dieses potenzielle Problem.

Die HP SNMP Agents für Linux zeigen einige Lücken, die über das Netzwerk ausgenutzt werden können. Sie erlauben Angreifern die Durchführung von Cross-Site Scripting (XSS) und URL-Umleitung. HP hat Updates herausgegeben, um diese Lücken zu schließen.

In den HP Insight Management Agents für Windows Server wurden verschiedene potenzielle Lücken gefunden. Sie können über das Netzwerk ausgenutzt werden, um z.B. Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), URL Umleitungen, unautorisierte Modifizierung und einen Denial-of-Service (DoS) zu erreichen. HP hat Updates herausgegeben, um diese Lücken zu schließen.

In Drupal Core wurden verschiedene Sicherheitslücken bekannt. Sie können Angreifern u.a. die Möglichkeit bieten, Denial-of-Service (DoS) Angriffe durchzuführen oder auch unautorisierten Zugang zu erhalten. Es empfiehlt sich ein Upgrade auf Version 7.13.

Im HP System Health Application and Command Line Utilities für Linux wurden potenzielle Fehler gefunden, die über das Netzwerk ausgenutzt werden können, um auf betroffenen Systemen beliebigen Code auszuführen. HP hat entprechende Updates veröffentlicht, die ab sofort zur Verfügung stehen.

Die Oracle Datenbankkomponente zeigt eine Schwachstelle im TNS Listener Service. Dieser akzeptiert nicht weiter authentifizerite Regstrierungen, sofern sie mit dem richtigen Paket angefragt werden. Daher kann ein Angreifer einen Client registrieren, der einen bereits registrierten Datenbank-Instanznamen nutzt, um durch einen Man-in-the-Middle Angriff den Datenbankverkehr mitzuschreiben bzw. zu verändern. Oracle hat Workarounds veröffentlicht, durch die dieses Problem behoben werden kann.

Potential security vulnerabilities have been identified with Beim HP Systems Insight Manager (SIM) für HP-UX, Linux und Windows wurden verschiedene sicherheitsrelevante Fehler gefunden. Sie können über das Netzwerk ausgenutzt werden, um z.B. unautorisierten Zugang zu erhalten, belibigen Code auf dem anfälligen System auszuführen und an Informationen zu gelangen. Weiterhin sind Cross-Site Request Forgery (CSRF), URL Redirects, Umgehung von Authentifizierungsmaßnahmen sowie Denial-of-Service (DoS) möglich.
Um diese Probleme zu lösen, hat HP den HP System Insight Manager v7.0 (bundled mit IM v7.0) für Windows, Linux und HP-UX herausgegeben.