Xulrunner ist eine Laufzeitumgebung für XUL Anwendungen wie z.B. der Iceweasel Webbrowser. Hier wurden verschiedene Sicherheitslücken gefunden, die u.a. zur Ausführung beliebigen Codes über das Netzwerk führen können.
Bei libhtml-parser-perl handelt es sich um eine Sammlung von Modulen zum Parsen von HTML in Textdokumenten. Angewendet wird dies z.B. auch bei SpamAssasin. Die Funktion decode_entities() verabschiedet sich beim Parsen bestimmter HTML-Sequenzent mit UTF-8 Zeichen in eine Endlosschleife, was einem Denial-of-Service (DoS) gleich kommt.
Verbesserte Pakete stehen jetzt zur Verfügung.

Pidgin ist eine Software für Instant Messaging. Eine ungültige Dereferenzierung eines Pointers bei der Verarbeitung von Kontaktlisten über das Pidgin OSCAR Protokoll sorgt dafür, dass Pidgin durch eine speziell konstruierte Kontaktliste zuum Absturz gebracht werden kann. Gleiches ist möglich aufgrund von Fehlern bei NULL Pointer Dereferenzierungen bei der Behandlung von IRC Topics durch IRC Protocol Plugins und fehlerhaften MSNSLP-Einladungen. Von einem IRC Server aus oder auch von einem Angreifer im Netzwerk kann über eine präparierte Message auch hier ein Denial-of-Service (DoS) erreicht werden. Überarbeitete Software steht zur Verfügung.

In den Drupal Third Party Modulen CCK Comment Reference, LDAP Integration, Insert Node, OpenSocial Shindig-Integrator, FAQ Ask, Workflow und Storm wurden mehrere Sicherheitslücken gefunden.
Verbesserte Software steht jetzt zur Verfügung und sollte bei Nutzung dieser Module zeitnah installiert sein. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen php5, newt, rubygem-actionpack, rubygem-activesupport, java-1_4_2-ibm, postgresql, samba, phpMyAdmin und viewvc. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

In 'expat', einer C-Bibliothek zur Verarbeitung von XML, wurde eine Sicherheitslücke beim Lesen von UTF-8 Zeichenketten gefunden, durch die Applikationen zum Absturz gebracht werden können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen hiervon sind Thuderbird und Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

In der Bibliothek libfreetype, der FreeType 2 Font Library, wurden verschiedene Möglichkeiten zu Integerüberläufen gefunden, die auch Applikationen betreffen können, die diese Bibliothek nutzen. Abhängig von der Applikation sind die Folgen, dass lokale oder entfernte eingeschränkte Benutzer die Bibliothek mit einer präparierten Font-Datei zum Absturz bringen und so einen Denial-of-Service (DoS) erreichen oder auch beliebigen Code mit den Rechten der betroffenen Applikation ausführen können.
Die mit Solaris ausgelieferte Datenbank PostgreSQL zeigt Schwachstellen, die einem authentifizierten PostgreSQL-Benutzer einen Denial-of-Service (DoS) erlaubt, indem Bibliotheken mit bestimmten Plugins neu geladen werden. Diese sind bei Solaris nicht mit enthalten. Zusätzlich bestehen aber auch Probleme mit den Berechtigungen für RESET ROLE und RESET SESSION AUTHORIZATION. Authentifizierte Benutzer können ggf. erweiterte Rechte erhalten.
Eine Schwachstelle in der Konfiguration der Solaris Trusted Extensions Policy kann einem unberechtigten Benutzer versehentlich Zugang zum X Server geben.
Patches stehen jetzt zur Verfügung.

In VMware ESX, ESXI, Fusion, Server, ACE, Player und Workstation wurden jetzt zwei Schwachstellen bekannt. Von einem existierenden und eingeschränkten Account aus ist es möglich, erweiterte Rechte zu erhalten. Über das Netzwerk besteht außerdem die Möglichkeit, unberechtigten Lesezugriff zu erhalten. Verbesserungen in der Software beheben diese Probleme.

Verschiedene Schwachstellen wurden in Samba bekannt, einer Implementierung des SMB/CIFS-Protokolls für Systeme unter Unix und Linux. Das Tool mount.cifs überprüft im Verbose Mode die Dateiberechtigungen nicht genau genug. Eine von Samba nicht erwartete Antwort auf eine sog. Oplock Break Notification kann dafür sorgen, dass der Dienst in eine Endlosschleife geht und damit ein Denial-of-Service (DoS) erreicht wird. Eine nicht ausreichend genaue Fehlerbehandlung sorgt für den zugriff in das Root-Verzeichnis, wenn das normale Home-Verzeichnis des Benutzers nicht angelegt ist. Weiterhin besteht ein Fehler im smbd Daemon. Sofern dieser im "dos filemode" betrieben wird, besteht die Gefahr, dass unautorisiert auf Dateien zugegriffen wird. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'nginx', einem kleinen und effizienten Webserver, wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk einen Denial-of-Service Zustand (Segmentation Fault) herbeiführen kann. Fehlerbereinigte Pakete beheben dieses Problem.

In 'kdelibs' wurde ein Fehler im Umgang mit X.509 Zertifikaten gefunden, durch ein Angreifer einen Man-in-the-Middle Angriff durchführen kann.
In 'mimetex', einer schlanken Alternative zu MathMl, wurden mehrere Sicherheitslücken gefunden.
In 'phpmyadmin', einer Webapplikation zur Verwaltung von MySQL Datenbanken, wurden mehrere Sicherheitslücken gefudnen, durch die ein Angreifer über das Netzwerk HTML Code oder SQL Statements einschleusen kann.
In 'smarty', einer PHP Template Engine, wurden mehrere Sicherheitslücken gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Linux Kernel 2.6, der Basis von Linux, wurden mehrere Schwachstellen bekannt. Sie können zur unberechtigten Erweiterung von Rechten, zu Denial-of-Service (DoS) oder der Bekanntgabe vertraulicher Informationen führen. Ein Kernel-Update behebt diese Probleme und schließt die Lücken.

Im Apache Webserver und der Apache Tomcat Servlet Engine, die in der Apache Web Server Suite von HP-UX enthalten sind, wurden mehrere Sicherheitslücken gefudnen. Patches stehen jetzt zur Verfügung.

Im Linux Kernel von Red Hat Enterprise Linux 4 wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Kernel Pakete stehen jetzt zur Verfügung.

In 'mapserver', einem CGI Framework für Webapplikationen, zur Darstellung von Daten und Karten, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In den Drupal Third Party Modulen Flag Content, Organic Groups Vocabulary, Moodle Course List module, vCard module, Simplenews Statistics und Abuse. wurden mehrere Sicherheitslücken gefunden.
Verbesserte Software steht jetzt zur Verfügung und sollte bei Nutzung dieser Module zeitnah installiert sein. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

In 'php' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Für verschiedene Produkte von Oracle ist ein kritisches Patch-Update erschienen. Hierdurch werden auch sehr kritische Lücken geschlossen. Daher sollten die entsprechenden Patches möglichst zeitnah installiert sein.

In PostgreSQL wurden drei Schwachstellen gefunden und behoben. Authentifizierte Benutzer können durch das erneute Laden von Plugin-Bibliotheken einen Denial-of-Service (DoS) auslösen. So ein Benutzer kann auch die Kommandos RESET ROLE und RESET SESSION AUTHORIZATION dazu nutzen, Schadcode zu installieren, der später mit den Rechten des Superusers ausgeführt wird. Weiterhin ist es Angreifern über das Netzwerk möglich, die Authentifizierung mit einem leeren Passwort zu umgehen. Hierfür muss allerdings eine spezielle Konfiguration der Authentifizierung über LDAP konfiguriert sein. Überarbeitete Software behebt diese Probleme.

In VMware ESX 3.5 und 3.0.3 wurden eine Vielzahl an Sicherheitslücken in DHCP, Service Console Package Kernel und JRE gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'camlimages', einer Bibliothek zur Bearbeitung von Bildern, wurden mehrere Integerüberläufe gefunden, durch die bösartig konstruierte TIFF Bilder beliebigen Code ausführen können.
Die "Bug.create" Webservicefunktion in 'Bugzilla' weist einen Fehler auf, durch den ein Angreifer über das Netzwerk beliebige SQL Kommandos ausführen kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In mehreren IBM Informix Produkten wurde ein Pufferüberlauf auf dem Stack bei der Verarbeitung von .nfx Dateien gefunden. Ein Patch steht noch nicht zur Verfügung.

In den Drupal Third Party Modulen Shibboleth authentication, OG Vocabulary, RealName, Printer und Webform. wurden mehrere Sicherheitslücken gefunden. Verbesserte Software steht jetzt zur Verfügung und sollte bei Nutzung dieser Module zeitnah installiert sein. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Im ZFS Dateisystem von Solaris 10 und OpenSolaris wurde eine Sicherheitslücke gefunden, durch die ein lokalenr Benutzer mit "file_chown_self" Rechten die Dateien anderer Benutzer übernehmen kann.
In der Bibliothek 'libpng' wurden mehrere Sicherheitslücken gefunden.
Patches stehen jetzt zur Verfügung.

In Xpdf wurden mehrere Integerüberläufe gefunden, durch die bösartig konstruierte PDF Dateien beliebigen Code ausführen können. Auch die Pakete kdegraphics, gpdf, poppler und cups sind betroffen. Fehlerbereinigte Pakete beheben diese Probleme.

In Cisco Unified Presence wurden zwei Sicherheitslücken gefunden, durch die ein Denial-of-Service Zustand herbeigeführt werden kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im GNOME PDF Viewer (Evince) von OpenSolaris wurden mehrere Sicherheitslücken gefunden, durch die bösartig konstruierte PDF Dateien beliebigen Code ausführen können. Patches stehen jetzt zur Verfügung.

In den Modulen postgresql-ocaml, mysql-ocaml und pygresql wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen zur Verfügung.

Im IBM Java 2 Runtime Environment und dem IBM Java 2 Software Development Kit wurden zwei Sicherheitslücken gefunden.
Im Apache Tomcat Servlet Container für Java Servlets und JavaServerPages (JSP) wurden mehrere Sichereheitslücken gefunden.
Fehlerbereinigte Pakete beheben diese Probleme.

Mehrere Schwachstellen im Windows GDI+ können beim Aufrufen von Grafikdateien oder Webseiten dafür sorgen, dass Angreifer mit den Rechten des entsprechenden Benutzers beliebigen Code ausführen können. Ein Hotfix steht jetzt zur Verfügung.

Drei Lücken im .Net Framework und Microsoft Silverlight erlauben die Ausführung beliebigen Codes, wenn der Benutzer speziell präparierte Webseiten aufruft und der Browser XAML-Applikationen verarbeiten kann. Ein Hotfix steht jetzt zur Verfügung.

Die Microsoft ATL zeigt verschiedene Schwachstellen, die bei ActiveX Controls dann zur Ausführung beliebigen Codes über das Netzwerk führen können. Ein Hotfix steht jetzt zur Verfügung.

Eine Lücke im LSASS kann zu einem Denial-of-Service (DoS) führen, wenn ein speziell präpariertes Paket während des NTLM Authentifizierungsprozesses geschickt wird. Auch Windows 7 ist von dieser Schwachstelle betroffen. Ein Hotfix steht jetzt zur Verfügung.

Drei Schwachstellen im Kernel bieten lokalen Benutzern die Möglichkeit, erweiterte Rechte zu erhalten. Sie sind nur von angemeldeten Benutzern ausnutzbar. Ein Hotfix steht jetzt zur Verfügung.

Von einem Webserver aus besteht über ActiveX die Möglichkeit, den Indexing Service anzusprechen. Hier besteht eine Lücke, die über einen präparierten URL die Ausführung von Code mit den Rechten des browsenden Bentuzers auszuführen. Ein Hotfix steht jetzt zur Verfügung.

Zwei Lücken in der CryptoAPI bieten Angreifern die Möglichkeit, bei zertifikatsbasierter Authentifizierung eine falsche Identität vorzuweisen. Benutzer können dadurch ggf. Informationen an falsche Partner herausgeben. Ein Hotfix steht jetzt zur Verfügung.

ActiveX Controls, die mit einer nicht aktuellen Version der Microsoft Active Template Library (ATL) kompiliert wurden, können Angreifern von Webservern aus Zugriff auf das anfällige System geben. Ein Hotfix steht jetzt zur Verfügung.

Mehrere Schwachstellen im IE können jetzt durch die Installation eines kumulativen Updates geschlossen werden. Werden die Lücken ausgenutzt, kann u.a. von einer Webseite aus Code auf dem anfälligen System ausgeführt werden. Ein Hotfix steht jetzt zur Verfügung.

Der FTP-Service des ISS zeigt zwei Lücken, die beide zu einem Denial-of-Service (DoS) führen können. Eine davon bietet Angreifern ggf. auch die Möglickeit, beliebigen Code auf dem betroffenen System auszuführen. Ein Hotfix steht jetzt zur Verfügung.

Eine Lücke im Windows Media Player 6.4 bietet Angreifern die Möglichkeit, über ASF-Dateien beliebigen Code zur Ausführung zu bringen, wenn der Benutzer diese aufruft. Ein Hotfix steht jetzt zur Verfügung.

Mittels präparierter Mediadateien oder entsprechenden Streaming-Inhalten lassen sich Schwachstellen ausnutzen, um über das Netzwerk beliebigen Code ausführen zu können. Betroffen hiervon sind u.a. verschiedene DirectShow Codec's und andere Decoder. Ein Hotfix steht jetzt zur Verfügung.

Drei Lücken im Microsoft Server Message Block (SMB) Protocol können u.a. zur Ausführung beliebigen Codes oder auch zu einem Denial-of-Service (DoS) über das Netzwerk führen. Ein Hotfix steht jetzt zur Verfügung.

Verschiedene Schwachstellen wurden in Samba bekannt, einer Implementierung des SMB/CIFS-Protokolls für Systeme unter Unix und Linux. Das Tool mount.cifs überprüft im Verbose Mode die Dateiberechtigungen nicht genau genug. Eine von Samba nicht erwartete Antwort auf eine sog. Oplock Break Notification kann dafür sorgen, dass der Dienst in eine Endlosschleife geht und damit ein Denial-of-Service erreicht wird. Eine nicht ausreichend genaue Fehlerbehandlung sorgt für den zugriff in das Root-Verzeichnis, wenn das normale Home-Verzeichnis des Benutzers nicht angelegt ist. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

sympa.pl in sympa 5.3.4 erlaubt lokalen Benutzern mittels eines Symlink Angriffs gegen temporäre Dateien beliebige Dateien des Systems zu überschreiben. nasl/nasl_crypto2.c in der Biblithek Nessus Attack Scripting Language (aka libnasl) 2.2.11 prüft Rückgabewerte der Funktion OpenSSL DSA_do_verify function nicht ausreichend genau genug, so dass Angreifer mit gefälschten Zertifikaten arbeiten können, ohne dass dies von Benutzern bemerkt wird. In phpmyadmin bestehen verschiedene Lücken, die Cross-Site Scripting oder SQL Injection erlauben.
Verbesserte Pakete stehen jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen silc-toolkit, open-iscsi, stronswan/freeswan/openswan, mutt, openldap2, cyrrus-imapd, java-1_6_0-openjdk, postgresql, IBMJava2-JRE/java-1_4_2_ibm, wireshark, freeradius und dovecot. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

Der Admin Media Handler in core/servers/basehttp.py bei Django 1.0 und 0.96 verbindet URL-Anfragen nicht immer mit den richtigen statischen Mediadateien. Hierdurch kann ein Directory Traversal Angriff mit einem speziellen URL erfolgreich sein. Ein überarbeitetes Paket behebt dieses potenzielle Problem.

KVM ist ein Virtualisierungssystem. Hier wurden einige Lücken gefunden. Ein sog. Off-by-One Bug beschränkt die VNC-Passworte bei KVM auf sieben Zeichen, wodurch Angreifer Passworte leichter raten können als bei der eigentlich vorgesehenen Länge von acht Zeichen. Die Funktion kvm_emulate_hypercall verhindert den Zugang zu MMU Hypercalls von Ring 0 aus nicht, wodurch Benutzer des Gastsystems einen Denial-of-Service (DoS) auslösen und lesend sowie schreibend auf den Kernelspeicher des Gastsystems zugreifen können.
Verschiedene Schwachstellen wurden in Samba bekannt, einer Implementierung des SMB/CIFS-Protokolls für Systeme unter Unix und Linux. Das Tool mount.cifs überprüft im Verbose Mode die Dateiberechtigungen nicht genau genug. Eine von Samba nicht erwartete Antwort auf eine sog. Oplock Break Notification kann dafür sorgen, dass der Dienst in eine Endlosschleife geht und damit ein Denial-of-Service erreicht wird. Eine nicht ausreichend genaue Fehlerbehandlung sorgt für den zugriff in das Root-Verzeichnis, wenn das normale Home-Verzeichnis des Benutzers nicht angelegt ist.
Verbesserte Pakete stehen jetzt zur Verfügung.

In thunderbird(1) wurden mehrere Sicherheitslücken bei der Verarbeitung von SSL Server Zertifikaten gefunden, durch die ein manipulierter SSL Server beliebigen Code mit den Rechten des Benutzers von Thunderbird ausführen kann. Patches stehen jetzt zur Verfügung.

In 'mono' wurden mehrere Cross-Site-Scripting (XSS) Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Script oder HTML Code einschleusen kann. Ferner kann mit abgeschnittenen XML HMAC Signaturen eine Authentifizierung umgangen werden.
In der Bibliothek 'libmikmod' wurden mehrere Sicherheitslücken gefunden, durch die Denial-of-Service Angriffe möglich sind.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In "pamperspective" aus dem Paket 'netpbm' wurde ein Fehler gefunden, durch den ein bösartig konstruiertes Bild einen Absturz der Applikation verursachen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'wget' wurde ein Fehler im Umgang mit X.509 Zertifikaten gefunden, durch ein Angreifer einen Man-in-the-Middle Angriff durchführen kann.
Die "forms" Bibliothek von 'python-django', einem Framework für Webapplikationen in Python, weist eine Schwachstelle auf, durch die ein Angreifer über das Netzwerk einen Denial-of-Service Zustand herbeiführen kann.
Fehlebereinigte Pakete stehen jetzt zur Verfügung.

Adobe plant für den 13. Oktober diesen Jahres ein Update für Adobe Reader 9.1.3 und Acrobat 9.1.3, Adobe Reader 8.1.6 und Acrobat 8.1.6 für Windows, Macintosh und UNIX sowie für Adobe Reader 7.1.3 und Acrobat 7.1.3 für Windows und Macintosh. Hiermit werden kritische Lücken geschlossen, u.a. eine in Adobe Reader und Acrobat 9.1.3 und früher (Windows, Macintosh, UNIX), die bereits 'in the wild' ausgenutzt wird.

In der Bibliothek 'libcsa.a' des Calendar Deamons wurde ein Puuferüberlauf gefunden, den ein Angreifer über das Netzwerk nutzen kann, wenn der 'rpc.cmsd' Calendar Deamon in /etc/inetd.conf aktiviert ist. Ein Patch steht jetzt zur Verfügung.

Der frag3 Präprozessor von Snort weit einen Fehler bei der Verarbeitung von Paketfragmenten mit unterschielicher TTL auf. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Die Formulare in 'SquirrelMail' sind nicht gegen Cross-Site Request Forgery (CSRF) Angriffe abgesichert. Eine bösartig konstruierte Webseite kann Einstellungen des SquirrelMail Benutzers ändern oder Email in seienm Namen versenden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'graphicsmagick', einer Sammlung von Werkzeugen zur Manipulation von Bildern, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'postgresql' wurde eine Sicherheitslücke gefunden, durch die angemeldete Benutzer die Kommandos RESET ROLE und RESET SESSION AUTHORIZATION missbrauchen können um bösartigen Code zu installieren, der später mit Superuser Rechten ausgeführt wird. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Ein Fehler in der Funktion "_dbus_validate_signature_with_reason" ermöglicht es, dass ein Angreifer Signaturen fälschen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Wireshark ist ein mächtiges Werkzeug zur Analyse von Netzwerkverkehr. Bereits gespeicherte Daten können geöffnet bzw. importiert werden. Beim Verarbeiten von erf-Dateien versucht Wireshark einen möglichst großen Puffer zu reservieren. Dies kann zu einer sog. "unsigned integer wrap vulnerability" führen. Um diese Lücke ausnutzen zu können, muss ein Angreifer sein Opfer überzeugen, eine von ihm präparierte Datei zu öffnen. Wireshark 1.2.2 schließt diese Lücke; diese Version steht ab sofort zum Download bereit.

ELinks ist ein textbasierter Webbrowser, der auch Frames, Tabellen und die meisten anderen HTML-Tags unterstützt. Bei der Bearbeitung des internen Caches spezieller HTML-Daten kann ein Off-By-One Pufferüberlauf auftreten. Hierdurch haben Angreifern die Möglichkeit, den Browser zum Absturz und ggf. auch eigenen Code zur Ausführung zu bringen. Überarbeitete Pakete beheben dieses Problem.

Eine Race Condition in der Verarbeitung von IP Sequenznummern kann zu einer BAD TRAP System Panik führen. Ein Patch steht jetzt zur Verfügung.

In 'mediawiki1.7' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Durch eine Race Condition im pipe close() Code im Zusammenhang mit kqueue, kann ein lokaler Angreifer Kernelberechtigungen erlangen oder einen Absturz verursachen.
Durch das Zusammenspiel von devfs und VFS entsteht eine Race Condition, durch die ein lokaler Angreifer Kernelberechtigungen erlangen oder einen Absturz verursachen kann.
Patches stehen jetzt zur Verfügung.

In der TCP/IP Implementierung von allen Versionen des SuSE Linux wurden Sicherheitslücken gefunden, durch die mit der Manipulation des TCP States ein Denial-of-Service (DoS) Zustand herbeigeführt werden kann. Überarbeitete Software steht jetzt zur Verfügung.

Bei strongswan handelt es sich um eine Implementierung der IPSECX und IKE Protokolle. Der Daemon stürzt ab, wenn speziell präparierte IKEv2-Pakete oder X-509 Zertifikate verarbeitet werden müssen. Dieser Denial-of-Service lässt sich durch das Installieren der aktualisierten Pakete beheben.

Im Linux Kernel von Turbolinux wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Kernelpakete stehen jetzt zur Verfügung.

Ein stackbasierter Pufferüberlauf in der Funktion push_subg in parser.y von Graphviz erlaubt Angreifern über das Netzerk mit Hilfe von Benutzern einen Denial-of-Service (DoS) und ggf. auch die Ausführung beliebigen Codes mit Hilfe einer DOT-Datei. Fehlerbereinigte Software steht jetzt zur Verfügung.

Schwachstellen im Sun Solaris IP(7P) Module und STREAMS Framework kann normalen Benutzern die Möglichkeit bieten, ein Leck im Kernelspeicher dazu auszunutzen, dass das System hängt, was einem Denial-of-Service (DoS) entspricht. Patches für Sun Solaris 9 und 10 stehen zur Verfügung. Eine Lösung für Solaris 8 steht derzeit noch nicht bereit.

ELinks ist ein textbasierter Webbrowser, der auch Frames, Tabellen und die meisten anderen HTML-Tags unterstützt. Bei der Bearbeitung des internen Caches spezieller HTML-Daten kann ein Off-By-One Pufferüberlauf auftreten. Hierdurch haben Angreifern die Möglichkeit, den Browser zum Absturz und ggf. auch eigenen Code zur Ausführung zu bringen. Gleiches ist auch auf anderem Wege möglich, weil relative Pfade nicht immer richtig behandelt werden.
Xen ist ein frei verfügbares Framework für Virtualisierung. Der pyGrub Bootloader beachtet die Option "password" in der Datei grub.conf für Gastsysteme nicht immer richtig. Benutzer mit Zugang zu einer Gastkonsole können diesen Fehler ausnutzen und Zugangsbeschränkungen umgehen, damit also auch den Gast mit beliebigen Kerneloptionen starten und Root-Rechte auf dem System erhalten.
Überarbeitete Pakete beheben diese Probleme.

Im NFS Portmapper Daemon von Novell Netware wurde eine Sicherheitslücke bei der Verarbeitung von CALLIT RPC Aufrufen gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code auf dem Netware Server ausführen kann. Fehlebereinigte Pakete stehen jetzt zur Verfügung.

In 'PostgreSQL' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In den Drupal Third Party Modulen XML sitemap, Bibliography, Browscap, Organic Groups, Dex: Contact Information Manager, Boost und Shared Sign On. wurden mehrere Sicherheitslücken gefunden.
Verbesserte Software steht jetzt zur Verfügung und sollte bei Nutzung dieser Module zeitnah installiert sein. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Im Linux Kernel von Red Hat Enterprise Linux 4 wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Kernel Pakete stehen jetzt zur Verfügung.

Im 'openssl' Paket von Red Hat Enterprise Linux 5.4 wurde ein Fehler bei der Überprüfung der ChrootDirectory Option gefunden. Fehlebereinigte Pakete stehen jetzt zur Verfügung.