Die mit Debian Linux ausgelieferte PostgreSQL Software zeigt einige Schwachstellen. Ein über das Netzwerk angemeldeter Benutzer mit bestimmten Rechten kann über ein Table mit einer präparierten Indexfunktion erweiterte Rechte erhalten. Durch zusätzliche Lücken sind Man-in-the-Middle Angriffe bei SSL basierten PostgreSQL Servern möglich, indem Zertifikate ausgetauscht werden. Neue Releases gehen auf diese Lücken ein.

Über das Netzwerk kann ein nicht authentifizierter Angreifer den KDC durch eine Null Pointer Dereferenzierung zum Absturz bringen. Normale Benutzer können diesen Denial-of-Service (DoS) ebenso auslösen. Im Advisory wird ein Workaround beschrieben. Die nächste Version krb5-1.7.1 wird einen entsprechenden Fix enthalten.

Der Sun Microsystems Directory Proxy Server in Kombination mit dem Directory Server Enterprise Edition 6 zeigt Lücken, durch die ein Denial-of-Service (DoS), aber auch unautorisierter Zugang zu bestimmten Daten möglich ist. Ein Patch schließt diese Lücken.

Aria2 ist ein Utility für den High Speed Download. Hier besteht im DHT Routing Code die Gefahr eines Pufferüberlaufs, der dann zur Ausführung beliebigen Codes führen kann. Überarbeitete Software steht jetzt zur Verfügung.

Die mit Sun Solaris ausgelieferte PostgreSQL Software zeigt einige Schwachstellen. Ein über das Netzwerk angemeldeter Benutzer mit bestimmten Rechten kann über ein Table mit einer präparierten Indexfunktion erweiterte Rechte erhalten. Durch zusätzliche Lücken sind Man-in-the-Middle Angriffe bei SSL basierten PostgreSQL Servern möglich, indem Zertifikate ausgetauscht werden. Neue Releases gehen auf diese Lücken ein.

In den Drupal Third Party Modulen Frequently Asked Questions (faq) und Automated Logout. wurden verschiedene Sicherheitslücken gefunden.
Verbesserte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Im IBM Java 2 Runtime Environment und dem IBM Java 2 Software Development Kit wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Der DNS-Resolver des BIND überprüft die in zusätzlichen Bereichen der DNS-Antworten enthalten sind, nicht ausreichend genau. Hierdurch können falsche Informationen in den Cache übergeben werden. Voraussetzung hierfür ist allerdings die Nutzung von DNSSEC Trust Anchors, was heute selten ist.
KVM ist ein Virtualisierungssystem. Verschiedene Schwachstellen können zu einem Denial-of-Service (DoS) und ggf. weiteren Folgen führen.
Bei Unbound handelt es sich um einen DNS Resolver. Kryptografische Unterschriften von NSEC3 Records werden nicht ausreichend genau überprüft, so dass hier der Schutz gegenüber Fälschungen deutlich geringer ist.
Überarbeitete Software behebt diese Probleme.

Beim proftpd, einem verbreiteten und bei Mandriva Linux enthaltenen FTP-Server, wurde nun bekannt, dass auch hier die in den letzten Tagen häufig referenzierte Schwachstelle im SSL- bzw. TLS-Protokoll vorhanden ist. Es können also Angreifer Daten in eine verschlüsselte Verbindung injizieren oder einen Denial-of-Service (DoS) Angriff durchführen. Ein Software-Update löst dieses Problem für den proftpd.

Ein neues Update behebt beim SuSE Linux Enterprise 10 SP 2 Kernel diverse Schwachstellen, die u.a. zur Erhöhung von Rechten lokaler Benutzer, der unberechtigten Ausführung beliebigen Codes oder auch Denial-of-Service (DoS) führen können.

Firefox ist ein weit verbreiteter Webbrowser. Sofern er in Versionen vor 3.0.16 bzw. .3.5.6 eingesetzt wird, können einige Schwachstellen ausgenutzt werden, die u.a. zur Ausführung von Code oder auch nur den Absturz des Browsers führen können. Schon aus diesem Grund sollte nur noch die jeweils aktuelle Version eingesetzt werden.

Für den Adobe Flash Player 10 steht ab sofort ein Sicherheitsupdate zur Verfügung. Mit speziell präparierten Flash-Dateien (SWF) können im Flash Player Überläufe provoziert und von Angreifern zur Auführung beliebigen Codes genutzt werden. Verbesserte Pakete für den Adobe Flash Player 9 werden wohl Anfang des neuen Jahres veröffentlicht.

Bei HP-UX besteht beim Einsatz des Apache Webservers v2.0.59.12 und früher eine Lücke. Diese inzwischen bekannte Schwachstelle im SSL erlaubt Angreifern das Injizieren von Daten oder auch einen Denial-of-Service (DoS). Temporäre Software-Updates stehen zur Verfügung.

Bei Condor handelt es sich um ein Workload Management System für rechenintensive Aufgaben. Es besteht ein Fehler bei der Verwaltung unterschiedlicher Jobs. Hierdurch kann in Benutzer mit dem Recht, Jobs zu starten, dieses auch unter einem anderen lokalen Benutzer machen. Dies kann dazu führen, dass er unberechtigterweise Zugang zu den Accountdaten erhält. Ein überarbeitetes Paket steht jetzt zur Verfügung.

Die PDF-Verarbeitung im Paket koffice zeigt einige Lücken, die durch ein jetzt verfügbares Update zu schließen sind.

Viele Implementierungen von TLS/SSL zeigen beim Transport Layer Security (TLS) Protocol eine Schwachstelle. Sie betrifft auch SSLv3, während SSLv2 nicht betroffen ist. Die Lücke kann nur dann ausgenutzt werden, wenn die selten genutzte TLS Handshake Recognition eingesetzt wird. Dann besteht die Möglichkeit, dass durch das unbemerkte Injizieren von HTTP-Anfragen in eine HTTPS-Session ein Man-in-the-Middle Angriff erfolgreich ist. Ein Update schaltet diese kaum genutzte Option solange aus, bis eine Überarbeitung des Protokolls abgeschlossen ist.

Bei GTK+ handelt es sich um ein Toolkit zum Entwickeln von grafischen Benutzeroberflächen. Hier bestehen verschiedene Lücken, die u.a. zum Absturz führen können, auch z.B. bei der Eingabe eines falschen Passworts für den Gnome Screensaver. Es wird empfohlen, das jetzt veröffentlichte Update zu installieren.

Bei Ganeti, einem Virtual Server Cluster Manager, besteht eine Lücke, weil die für bestimmte Kommandos übergebenen Skriptpfade nicht ausreichend genau überprüft werden. Hierdurch können Benutzer beliebige Kommandos auf dem als Cluster Master arbeitenden System ausführen.
Weiterhin besteht eine Lücke in acpid, dem Advanced Configuration and Power Interface Event Daemon. Logdateien werden nur mit schwachten Berechtigungen angelegt, wodurch lokale Benutzer sensitive Informationen abrufen und ggf. auch einen Denial-of-Service (DoS) erreichen können, indem aller freier Platz auf der Partition belegt wird.
Verbesserte Pakete stehen jetzt zur Verfügung.

Der Adobe Flash Media Server (FMS) 3.5.2 und früher zeigt kritische Schwachstellen. Sofern sie von einem Angreifer ausgenutzt werden, ist dieser dann in der Lage, auf dem betroffenen System Schadcode auszuführen. Adobe hat eine Lösung für dieses Problem veröffentlicht.

In der NetScaler und Access Gateway Enterprise Edition Appliance Firmware wurde eine Sicherheitslücke gefunden, durch die ein Denial-of-Service Angriff möglich ist. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'ffmpeg' wurde eine Sicherheitslücke gefunden, durch die bösartig konstruierte AAC oder OGM Dateien einen Deanil-of-Service Zustand herbeiführen können.. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Cisco WebEx Recording Format (WRF) Player wurden mehrere Pufferüberläufe gefunden, durch die en Angreifer beliebigen Code ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

In Type 1 Font Parser von 'xpdf' wurde ein Pufferüberlauf gefunden, durch den bösartig konstruierte PDF Dateien beliebigen Code ausführen können. Ebenso betroffen sind 'gpdf' und 'kdegraphics'. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'cacti', einen Frontend zum rrdtool, wurden mehrere Sicherheitslücken gefunden.
Im 'network-manager-applet' wurde eine Sicherheitslücke bei den dbus Restriktionen gefunden.
Fehlerbereinigte Software steht jetzt zur Verfügung.

In Adobe Reader und Acrobat wurde ein Kritisch Sicherheitslücke gefundnen, durch die eine bösartig konstruierte PDF Datei beliebigen Code ausführen kann. Fehlerbereinigte Software steht noch nicht zur Verfügung. Im Advisory wird ein Workaround beschrieben.

In den Linux Kerneln von Red Hat Enterprise Linux wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Kernel Pakete stehen jetzt zur Verfügung.

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen hiervon sind Thuderbird und Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'firefox-sage', einem schlanken RSS und Atom Feed Readerfür Firefox, wurde ein Fehler gefunden, durch den Cross-Site-Scripting Angriffe möglich sind.
In 'Asterisk' wurden mehrere Sicherheitslücken gefunden.
In 'expat' wurden ein Pufferüberlauf bei der Verarbeitung von UTF-8 Sequenzen in XML Dateien gefunden.
Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'gimp' wurde ein Integerüberlauf gefunden, durch den bösartig konstuierte PSD Dateien beliebigen Code ausführen können. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Kernel von SuSE Linux und OpenSUSE wurden mehrere Sichehrheitslücken gefunden. Diese führen zu unterschiedlichen Gefahren, u.a. dass lokale Benutzer administrative Rechte auf einem System erhalten oder einen Denial-of-Service (DoS) auslösen können. Ein entsprechendes Kernel-Update steht jetzt zur Verfügung.

In der Sun Ray Server Software wurden zwei Sicherheitslücken gefunden. Wenn ein lokaler Benutzer sich aus einer Sun Ray Desktop Sitzung ausloggt, kann die Session den Benutzer unter Umständen wieder einloggen. Eine Schwachstelle bei der Erzeugung Schlüsseln führt dazu, dass der Maus, Tastatur und Bildschirm Datenverkehr zwischen Sun Ray DTU und dem Sun Ray Server entschlüsselt werden kann. Patches stehen jetzt zur Verfügung.

In 'php-net-ping', einem PHP PEAR Modul, wurde ein Fehler bei der Bereinigung von Benutzereingaben gefunden, durch die beliebige Kommnados ausgeführt werden können.
In 'WebKit' wurden mehrere Sicherheitslücken gefunden.
Fehlerbereinigte Software steht jetzt zur Verfügung.

Im CA Service Desk wurde eine Cross-Site Scripting Sicherheitslücke gefunden, die ein Angreifer über das Netzwerk ausnutzen kann. Patches stehen jetzt zur Verfügung.

In der Sun Ray Server Software wurden zwei Sicherheitslücken gefunden. Ein Fehler im Authentication Manager ermöglicht es, dass Angreifer über das Netzwerk einen Denial-of-Service Zustand herbeiführen. Eine Schwachstelle bei der Erzeugung Schlüsseln führt dazu, dass der Maus, Tastatur und Bildschirm Datenverkehr zwischen Sun Ray DTU und dem Sun Ray Server entschlüsselt werden kann. Patches stehen jetzt zur Verfügung.

Im HP OpenView Network Node Manager wurden mehrere Sicherheitslücken gefunden. Patches stehen jetzt zur Verfügung.

Im Hewlett-Packard Application Recovery Manager wurde eine Sicherheitslücke gefunden. Patches stehen jetzt zur Verfügung.

In VRTSweb Version 5.0, das mit HP-UX geliefert wird, wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code ausführen kann. Patches stehen jetzt zur Verfügung.

Im Adobe Flash Player wurden mehrere Sicherheitslücken gefunden.
Durch einen Fehler in 'kvm' kann ein Benutzer eines Gastsystems einen Denial-of-Service Zustands des Host Systems herbeiführen.
In des JBoss Enterprise Application Platform (JBEAP) wurden mehrere Sicherheitslücken gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Beim Einsatz von sendmail unter HP-UX besteht eine Schwachstelle, die zu einem Denial-of-Service (DoS) führen kann. Sie ist über das Netzwerk ausnutzbar. Es wird empfohlen, ein Upgrade auf sendmail 8.13.3 durchzuführen.

Indeo Codec auf Systemen unter Microsoft Windows 2000, Windows XP oder Windows Server 2003 kann Angreifern die Möglichkeit bieten, beliebigen Code auf dem System ausführen zu lassen. Dies passiert, wenn ein Benutzer eine entsprechend präparierte Datei öffnet. Ein Update verhindert nun, dass der Indeo Codec nicht automatisch vom Internet Explorer oder Media Player ausgeführt wird. Ebenso können nach dem Update keine Applikationen nachgeladen werden.

Im IBM Java 2 Runtime Environment und dem IBM Java 2 Software Development Kit wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Es besteht ein Fehler in GNU libtool. Die Bibliothek libltdl schaut nicht ausreichend genau nach, welche Module geladen werden. Daher kann ein lokaler Angreifer diese Bibliothek nutzen, um Benutzer auszutricksen und so beliebigen Code mit den Rechten des betroffenen Benutzers ausführen. Überarbeitete Software steht jetzt zur Verfügung.

Es wurde ein Fehler im Network Time Protocol bekannt, der leicht für einen Denial-of-Service (DoS) Angriff ausgenutzt werden kann. Der Grund hierfür ist, dass Mode 7 Antworten nicht wie eigentlich sinnvoll, fallen gelassen werden - speziell wenn sie von Port 123/udp und nicht einem hohen Port kommen. Ein Update steht für einige Systeme zur Verfügung.

Bei Mircosoft Office Project besteht eine Schwachstelle, die mit Hilfe einer von Angreifern präparierten Datei zur Ausführung beliebigen Codes auf dem betroffenen System führen kann. Der Code wird beim Öffnen des Dokuments mit den Rechten des aufrufenden Benutzers ausgeführt. Ein Update schließt diese Lücke.

Bei WordPad und anderen Konvertern für Office Texte besteht eine Schwachstelle, die mit Hilfe einer von Angreifern präparierten Datei im Word 97 Format zur Ausführung beliebigen Codes auf dem betroffenen System führen kann. Der Code wird beim Öffnen des Dokuments mit den Rechten des aufrufenden Benutzers ausgeführt. Ein Update schließt diese Lücke.

Für den Microsoft Internet Explorer steht ab sofort ein kumulatives Update bereit. Es sollte möglichst zeitnah installiert werden, weil hiermit diverse Sicherheitslücken geschlossen werden.

Mehrere Fehler bestehen im Internet Authentication Service beim Verarbeiten von PEAP-Authentifizierungsversuchen, da sie falsch in den Speicher kopiert werden. Beliebiger Code kann beim erfolgreichen Ausnutzen dieser Lücken ausgeführt und damit im Prinzip auch das System vollständig übernommen werden. Ein Hotfix behebt dieses Problem.

Ein unter Microsoft laufender Webserver, bei dem ADFS eingeschaltet ist, zeigt zwei Schwachstellen. Mit speziellen HTTP-Anfragen an diesen Webserver können Angreifer hier beliebigen Code zur Ausführung bringen. Überarbeitete Software steht jetzt zur Verfügung.

Im Local Security Authority Subsystem Service (LSASS) besteht ein Fehler, der zu einem Denial-of-Service (DoS) führen kann. Ein angemeldeter Benutzer kann den DoS bei Verbindungen über IPSec mit einer speziellen ISAKMP Nachricht an den LSASS auslösen. Ein Hotfix steht jetzt zur Verfügung.

Im HP OpenView Data Protector Application Recovery Manager wurde eine Sicherheitslücke bekannt, durch die ein Angreifer über das Netzwerk einen Denial-of-Service Angriff herbeiführen kann. Ein Software-Update steht zur Verfügung.

Im IBM Java 2 Runtime Environment und dem IBM Java 2 Software Development Kit wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'expat' wurden zwei Pufferüberläufe bei der Verarbeitung von UTF-8 Sequenzen in XML Dateien gefunden.
'acpid' erzeugt seine Logdatei mit falschen Zugriffrechten. Ein lokaler Angreifer kann unter bestimmten Umständen erweiterte Rechte erlangen.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Shibboleth, ein Web Single Sign-on System, ist gegen Script Injection durch Redirection URLs anfällig. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im GNU tar gtar(1) Archivprogramm, das mit Sun Solaris 9, Solaris 10 und OpenSolaris ausgeliefert wird, bestehen zwei Sicherheitslücken. Die erste ermöglicht einen Directory Traversal Angriff. Dieser ist möglich, weil von einem präparierten Archiv aus beliebige Dateien auf dem System überschrieben werden können, auf die gtar(1) die entsprechenden Rechte hat. Die zweite Lücke ist ein Pufferüberlauf, der beim (von Angreifern kontrollierten) Absturz nicht nur zu einem Denial-of-Service (DoS) führt, sondern auch die Möglichkeit bietet, beliebigen Code zur Ausführung zu bringen.
Das Kommando wget(1) zeigt eine Lücke, durch die im Bereich HTTPS vorgesehende zertifikatsbasierte Authentifizierung ausgetrickst werden und zwischen dem wget(1) Client und dem Server ein Man-in-the-Middle Angriff möglich ist.
Überarbeitete Pakete beheben die genannten Probleme.

Die mit dem Sun Management Center 3.6.1 und 4.0 ausgelieferte XML-Bibliothek erlaubt Benutzern die Ausführung beliebigen Codes mit den Rechten der SunMC Applikation mit Hilfe einer präparierten XML-Datei. Auch ein Denial-of-Service (DoS) kann erreicht werden. Die SunMC Applikation läuft üblicherweise mit Root-Rechten.
Bei Sun Solaris 10 ist die Bibliothek libexpat zum Parsen von XML-Dateien enthalten. Hier bestehen verschiedene Schwachstellen, die von Benutzern mit XML-Dateien zum Absturz von Applikationen genutzt werden können. Dieser Denial-of-Service (DoS) ist lokal oder auch über das Netzwerk auslösbar.
Überarbeitete Pakete beheben diese Lücken.

SSL version 3 und TLS unterstützen Neuverhandlungen ohne kryptografische Bindung der Sessionparameter an die vorhergehenden. Ein Angreifer kann eine für SSL oder TLS genutzte TCP-Verbindung so fälschen, dass er einen Man-in-the-Middle Angriff erfolgreich durchführen kann.
Der Runtime Linkeditor rtld verlinkt dyamisch ausführbare Dateien mit den dazu notwendigen Bibliotheken. Bei Setuid-Programmen werden normalerweise kritische Umgebungsvariable entfernt. Durch letztens bei FreeBSD durchgeführte Änderungen kann dieses ggf. umgangen werden, so dass ein nicht privilegierter Benutzer, der Programme ausführen kann, auch die Rechte eines beliebigen Setuid-Programms erhalten kann. Dabei handelt es sich normalerweise um Root-Rechte.
Beim Download von Updates von FreeBSD via 'freebsd-update fetch' oder 'freebsd-update upgrade' kopiert das Tool freebsd-update(8) die gerade heruntergeladenen Dateien in das Arbeitsverzeichnis. Daher kann ein Benutzer diese Dateien lesen, auch wenn er normalerweise nicht das Recht dazu hätte.
Patches beheben die genannten Probleme.

Bei request-tracker handelt es sich um ein Trouble-Ticket System. Sofern en Benutzer Zugang zur gleichen Domain hat, besteht die Möglichkeit, dass er die RT-Session eines anderen Benutzers übernehmen kann.
Gforge ist ein sog. Collaborative Development Tool. Lokale Benutzer können mit einem Symlink Angriff beliebige Dateien überschreiben und damit auch einen Denial-of-Service auslösen.
Die belgische Bibliothek eID PKCS11 überprüft die Ergebnisse der in OpenSSL für die Überprüfung von Signaturen zuständige Funktion nicht ausreichend genau. Hierdurch können dann auch nicht passende Zertifikate eingesetzt werden.
Überarbeitete Software steht jetzt zur Verfügung.

Für MRG Realtime für RHEL 5 Server stehen ab sofort zur Verfügung aktualisierte kernel-rt Pakete. Hierdurch werden einige Sicherheitsprobleme wie z.B. eine NULL Pointer Dereferenzierung, aber auch weitere Fehler behoben.

Ab sofort steht bei Java Mac OS X 10.6 Update 1 und 10.5 Update 6 zur Verfügung. Durch diese Updates werden viele Schwachstellen geschlossen, die u.a. zu Denial-of-Service, zur Ausführung beliebigen Codes und allgemein einer Reduzierung der gebotenen Sicherheit führen können.

Mozilla Firefox (webnavi) ist ein frei verfügbarer Webbrowser. Ein neuer Turbolinux Client behebt viele Sicherheitsprobleme, die in dieser Software gefunden worden sind.

OpenLDAP ist eine frei verfügbare Implementierung des Lightweight Directory Access Protocol. Bei der Nutzung von OpenSSL besteht hier eine Schwachstelle, da ein spezielles Zeichen innerhalb eines Domainnamen nicht ausreichend genau geprüft und behandelt wird. Folge kann sein, dass Angreifer einen Man-in-the-Middle Angriff erfolgreich durchführen können. Überarbeitete Software steht jetzt zur Verfügung.

OpenSSL zeigt einen Fehler bei der Implementierung des TLS/SSLv3 Protokolls. Hierdurch ist es möglich, mit Hilfe eines Man-in-the-Middle Angriffs HTTP-Anfragen in eine HTTPS-Session zu injizieren, ohne dass dies bemerkt wird. Ein Update für Sun Java Enterprise System und sun-nss schließt diese Lücke, die nicht nur bei Sun Solaris, sondern auch bei RHEL, HP-UX und Microsoft Windows auftreten kann.

Im Sun Java System Portal Server Gateway wurden verschiedene Möglichkeiten zum Cross-Site Scripting (XSS) gefunden. Hierdurch können Angreifer über das Netzwerk im Prinzip JavaScript Code im Browser eines Benutzers ausführen. Ein Patch steht jetzt zur Verfügung.

Bei den HP NonStop Servers wurde eine potenzielle Schwachstelle bekannt. Sie kann von lokalen Benutzern dazu ausgenutzt werden, um unautorisierten Zugang zu Daten zu erhalten oder einen Denial-of-Service (DoS) auszulösen. Ein Software-Update steht zur Verfügung.

Im Kernel von SuSE Linux und OpenSUSE wurden mehrere Sichehrheitslücken gefunden. Diese führen zu unterschiedlichen Gefahren, u.a. dass lokale Benutzer administrative Rechte auf einem System erhalten oder einen Denial-of-Service (DoS) auslösen können. Ein entsprechendes Kernel-Update steht jetzt zur Verfügung.

Der DNS-Server BIND zeigt eine mögliche Lücke, durch die falsche Informationen im Cache platziert werden können. Ausgenutzt werden kann diese Lücke nur, wenn bereits andere Sicherungsmechanismen wie Portsicherheit und Zufälligkeit der Transaktions-ID ausgetrickst worden sind. Zusätzlich besteht die Lücke nur dann, wenn DNSSEC eingesetzt wird. Von Novell wird die Schwachstelle daher als 'minor' eingestuft, ein Patch steht zur Verfügung.

In der TK Anlagen Software Asterisk wurde eine Sicherheitslücke gefunden. Ein Angreifer kann RTP Comfort Noise mit einer Datenlänge von 24 Byte oder mehr senden um einen Denial-of-Service Zustand herbeizuführen. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Apache Xerces2 Java Parser wurde ein Fehler bei der Verarbeitung des SYSTEM Identifiers in DTDs gefunden. Bösartig konstruierte XML Dateien können einen Denial-of-Service Zustand herbeiführen.
In 'dstat' wurde eine Sicherheitslücke im Python Modul Search Path gefunden, durch die ein lokaler Angreife eigenen Code mit den Rechten anderer User ausführen kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.