In HPs "Insight Control for Linux" (IC-Linux) wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code ausführen kann. Patches stehen jetzt zur Verfügung.

In 'sendmail' wurde eine Sicherheitslücke bei der Überprüfung von X.509 Zertifikaten gefunden. Fixes stehen jetzt zur Verfügung.

In 'Apple iTunes' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'Apple QuickTime' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'Oracle Java SE' und 'Oracle Java for Business' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Ein kumulatives Sicherheitsupdate für den Microsoft IE schließt verschiedene kritische Lücken, durch die ein Angreifer auch eigenen Code mit den Rechten des Benutzer von IE ausführen kann.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen cifs-mount/samba, compiz-fusion-plugins-main, cron, cups, ethereal/wireshark, krb5, mysql, pulseaudio, squid/squid3 und viewvc. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

Im Kernel von SUSE Linux Enterprise Server 10 SP3 wurden mehrere Sicherheitslücken gefunden. Feherbereinigte Kernelpakete stehen jetzt zur Verfügung.

Im Release RHEL5 Update 4 wurden mehrere Sicherheitslücken behoben. Betroffen sind die Pakate kernel, brltty, openldap, squid, sendmail, pam_krb5 und automake.

Im Mozilla Firefox Webbrowser wurden mehrere Sicherheitslücken gefunden. Ebenfalls betroffen hiervon sind Thuderbird und Seamonkey. Fehlerbereinigte Software steht jetzt zur Verfügung.

Security Update 2010-002 / Mac OS X v10.6.3 steht zur Verfügung. Da hierdurch sehr viele Sicherheitslücken geschlossen werden, sollte dieses Update zeitnah installiert werden.

In 'AudFilter' wurde eine Sicherheitslücke gefunden, durch die ein lokaler Angreifer einen Denial-of-Service Zustand herbeiführen kann. Patches stehen jetzt zur Verfügung.

In der 'HP SOA Registry Foundation' wurden mehrere Sicherheitslücken gefunden. Patches stehen jetzt zur Verfügung.

In der NTP Implementierung der "HP TCP/IP Services for OpenVMS" wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer über das Netzwerk beliebigen Code ausführen oder den Dienst zum Absturz bringen kann.
Im "HP Secure Web Server for OpenVMS" (CSWS) wurden mehrere Sicherheitslücken gefunden.
Patches stehen jetzt zur Verfügung.

In der "xmlrpc" Erweiterung von PHP wurde eine Sicherheitslücke bei der Überprüfung von Eingabewerten gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'libcurl' wurde ein Pufferüberlauf beim Entpacken von Daten gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'NFS/ONCplus', das mit HP-UX geliefert wird, wurde eine Sicherheitslücke gefunden, durch die NFS unbeabsichtigter Weise aktiviert sein kann. Patches stehen jetzt zur Verfügung.

In der Management Firmware der Broadcom NetXtreme Netzwerk Karten wurde ein Pufferüberlauf gefunden, durch den ein Angreifer über das Netzwerk beliebigen Code ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Kernel von openSUSE 11.2 wurden mehrere Sicherheitslücken gefunden. Feherbereinigte Kernelpakete stehen jetzt zur Verfügung.

In 'sendmail', das mit HP-UX geliefert wird, wurde eine Sicherheitslücke gefunden, wenn STARTTLS aktiviert ist. Patches stehen jetzt zur Verfügung.

Im HP Project and Portfolio Management Center (PPMC) wurden mehrere Sicherheitslücken gefunden, die zu Cross-Site-Scripting Angriffen genutzt werden können. Fehlerbereinigte Software steht jetzt zur Verfügung.

In den Drupal Third Party Modulen Mime Mail und Menu Block wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

In MIT Kerberos wurde eine Sicherheitslücke in der Implementierung des SPNEGO GSS-API Mechanismus gefunden, durch den ein nicht authentisierte Angreifer den Kerberos Administration Daemon (kadmind) und andere GSS-API Applikationen zum Absturz bringen. Fehlerbereinigte Software steht jetzt zur Verfügung.

Cisco IOS Systeme, die mit Cisco Unified Communications Manager Express (CME) oder Cisco Unified Survivable Remote Site Telephony (SRST) konfiguriert sind, weisen zeich Sicherheitslücken auf, durch die Denial-of-Service Angriffe möglich sind. Fehlerbereinigte Software steht jetzt zur Verfügung.

In der Cisco IOS Software wurden mehrere Sicherheitslücken gefunden. Betroffen sind die Protokolle TCP, SIP, H.323, MPLS, SCCP und IPsec. Fehlerbereinigte Software steht jetzt zur Verfügung.

In OpenSSL und GnuTLS wurden mehrere Sicherheitslücken gefunden.
In Apache Modul 'mod_proxy_ajp' und dem Multi-Processing Module (MPM) wurden Sicherheitslücken gefunden.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Paket 'rhev-hypervisor' der Red Hat Enterprise Virtualization (RHEV) wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'mediawiki' wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Verschiedene, auch kritische Lücken werden durch überarbeitete kernel-rt Pakete für Red Hat Enterprise MRG 1.2 geschlossen. Dieses Update wird vom Red Hat Security Response Team als wichtig eingestuft.

Das Web Open Fonts Format (WOFF) ist ein einfaches, komprimiertes Format für Zeichensätze. Unterstützung für WOFF ist in Firefox 3.6 enthalten. Der WOFF Decoder weist einen Pufferüberlauf auf, durch den ein bösartig konstruierter WOFF Font beliebigen Code ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'libcurl' wurde eine Sicherheitslücke gefunden, wenn 'zlib' aktiviert ist. Ein Angreifer kann über das Netzwerk die Applikation zum Absturz bringen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'spamass-milter', einem Milter Modul zur Filterung von Emails durch SpamAssassin, wurde eine Sicherheitslücke durch fehlende Eingabeüberprüfung gefunden. Eine böasrtig konstruierte Email kann beliebigen Code ausführen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Die Version des Java Runtime Environment (JRE), das mit CA ARCserve Backup geliefert wird, weist mehrere Sicherheitslücken auf. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'htmlscrubber', einer Komponente des 'ikiwiki' Wiki Compilers, wurde eine Sicherheitslücke bei der Bereinigung von URIs gefunden, durch die Cross-Site-Scripting Angriffe möglich werden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Bei Pango handelt es sich um eine Bibliothek für das Layout und die Darstellung von Text. Eine nicht ausreichend genaue Prüfung von Eingaben kann bei Pango zu einem Indizierungsfehler in einem Array führen. Sofern ein lokaler Benutzer dazu verleitet wird, mit Pango einen speziell präparierten Zeichensatz in eine Applikation zu laden, kann dies zu einem Absturz und damit einem Denial-of-Service führen. Überarbeitete Software steht jetzt bereit.

In 'php5' wurde eine Sicherheitslücke gefunden, durch die ein böasrtig konstruierter XML-RPC Request einen Absturz hervorrufen kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der Speicherverwaltung des Virtual Machine Monitors wurde eine Sicherheitslücke gefunden, durch die ein Angreifer im Gast System Speicher übr 2 GByte manipulieren und damit Schutzmaßnahmen des Betriebsystems umgehen kann. Fehlerbereinigte Software steht noch nicht zur Verfügung.

In den Drupal Third Party Modulen Email Input Filter, Tag Order und Keys wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Im IBM Java 2 Runtime Environment und dem IBM Java 2 Software Development Kit wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In OpenOffice wurden mehrere Sicherheitslücken gefunden. Feherbereinigte Pakete stehen jetzt zur Verfügung.

Im Kernel von openSUSE 11.0 wurden mehrere Sicherheitslücken gefunden. Feherbereinigte Kernelpakete stehen jetzt zur Verfügung.

Der aktuelle SUSE Security Summary Report berichtet über Sicherheitslücken in den Paketen acroread, evolution-data-server, finch/pidgin/libpurple, flash-player, gmime, libnetpbm, libtool, rmail/sendmail/uucp und rubygem-actionpack. Fehlerbereinigte Pakete stehen jetzt zur Verfügung und sollten auf den betroffenen Systemen installiert werden.

In Mozilla Thunderbird wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In den Linux Kerneln von Red Hat Enterprise Linux wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Kernel Pakete stehen jetzt zur Verfügung.

Im 'drbd8' Kernel Modul wurde eine Sicherheitslücke gefunden, durch die lokale Benutzer erweiterte Rechte erlangen können.
Der PulseAudio Sound Server erzeugt temporäre Verzeichnisse auf unsichere Art und Weise.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der Bibliothek 'pango' wurde eine Sicherheitslücke gefunden, durch die eine bösartig konstruierte Font Datei eine Applikation, die 'pango' verwendet, zum Absturz bringen kann.
in 'tar' und 'cpio' wurden mehrere Sicherheitslücken gefunden, durch die bösartig konstruierte Archiv Dateien beliebigen Code ausführen können.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Modul 'mod_isapi' für den Apache Webserver auf Microsoft Windows wurde eine Sicherheitslücke gefunden, durch die ein Angreifer evtl. beliebigen Code ausführen kann. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'moin', einer Wiki Applikation in Python, wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Apple hat Safari 4.0.5 herausgegeben. Die neue Version dieses Webbrowsers für unterschiedliche Betriebssysteme behebt viele Probleme, auch sicherheitsrelevante. Ein Update ist daher empfohlen.

WebKit ist eine Open Source Webbrowser Enginde, die derzeit u.a. von Apple Safari und Google Chrome genutzt wird. Hier besteht die Gefahr, dass über einen Speicherfehler ein Angreifer in der Lage ist beliebigen Code mit den Rechten des momentanen Benutzers auszuführen. Der Fehler passiert beim Zurücksetzen von HTML-Elementen mit Java Script Code. Apple hat inzwischen einen Patch herausgegeben, um diese Lücke zu schließen.

In 'egroupware' wurden zwei Sicherheitslücken gefunden, durch die Cross-Site-Scripting Angriffe möglich sind oder beliebiger Code ausgeführt werden kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Linux Kernel 2.6 wurden mehrere Schwachstellen bekannt. Sie können zur unberechtigten Erweiterung von Rechten oder zu Denial-of-Service (DoS) Angriffen führen. Fehlerbereinigte Kernel Pakete stehen jetzt zur Verfügung,

In den Drupal Third Party Modulen TinyMCE und Monthly Archive by Node Type wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

In 'kvm', einem Virtualisierungssystem, wurden mehrere Sicherheitslücken gefunden, durch die Benutzer eines Gastsystem erweiterte Berechtigungen im Gast- oder Hostsystem erlangen können.
In 'dpkg-source' wurde eine Directory Traversal Sicherheitslücke gefunden, durch die ein bösartig konstruiertes Debian Source Pakte Dateien ausserhalb des Zielverzeichnises modifizieren kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Bei HP Performance Insight wurde jetzt eine potenzielle Schwachstelle bekannt. Wird sie ausgenutzt, kann ein Angreifer über das Netzwerk auf dem betroffenen System beliebige Kommandos ausführen. Patches stehen zur Verfügung, aber nicht im HP IT Resource Center (ITRC).

Der Microsoft Internet Explorer bietet über seine Komponente iepeers.dll die Unterstützung von Web-Folders und Druckroutinen. Diese DLL ist potenziell gegen einen Angriff anfällig, weil ein Pointer auch nach der Rückgabe des Objektes nicht zurück gesetzt wird. Hierdurch kann ein Angreifer von einem Server aus ggf. auf dem System beliebigen Code ausführen oder einen Denial-of-Service (DoS) auslösen. Betroffen sind Microsoft IE 6 und IE 7.
Ein Update steht derzeit noch nicht zur Verfügung. Es wird im Advisory von Microsoft ein Workaround beschrieben. Active Scripting sollte ausgeschaltet werden, damit diese Lücke nicht mehr ausnutzbar ist.

Bei tdiary handelt es sich um ein Weblog-System. Hier besteht die Gefahr eines Cross-Site Scripting (XSS) Angriffs, weil die Übergaben an das TrackBack Transmission Plugin nicht ausreichend genau geprüft werden. Überarbeitete Software steht jetzt zum Download bereit.

In Excel bestehen einige Schwachstellen. Sie lassen sich jeweils mit speziellen Excel-Dateien ausnutzen, beim Öffnen der Dateien wird entsprechend Code auf dem anfälligen System ausgeführt. Ein Hotfix steht jetzt zur Verfügung.

Speziell präparierte Project Dateien können beim Öffnen dafür sorgen, dass mit den Rechten des öffnenden Benutzers auf dem System beliebiger Code ausgeführt wird. Betroffen hiervon sind Windows Movie Maker 2.1, Windows Movie Maker 2.6, Windows Movie Maker 6.0 und Microsoft Producer 2003. Ein Hotfix steht jetzt zur Verfügung.

Im TYPO3 Web Content Management Framework wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In CA SiteMinder wurden mehrere Sicherheitslücken gefunden, durch die Cross-Site-Scripting Angriffe möglich sind. Fehlerbereinigte Software steht jetzt zur Verfügung.

Autonomy KeyView SDK ist ein SDK, das Bibliotheken für das Verarbeiten vieler Dateiformate beinhaltet. Im Autonomy's KeyView Filter SDK wurde ein Integerüberlauf gefunden, der es bösartig konstruierten Dateien ermöglich beliebigen Code auszuführen. Betroffen sind unter anderem IBM Lotus Notes und Symantec Mail Security for Microsoft Exchange.
Fehlerbereinigte Software steht jetzt zur Verfügung.

'pam_krb5' generiert unterschiedliche Passwort Promts, je nachdem, ob der Benutzer existiert oder nicht. Das ermöglicht es einem Angreifer, die gültige Benutzernamen zu ermitteln. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In der ESX Service Console wurden mehrere Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'xntpd' wurde eine Sicherheitslücke gefunden, durch die ein Angreifer über das Netzwerk den NTP Server zum Absturz bringen kann. Fixes stehen jetzt zur Verfügung.

Im IBM Java 2 Runtime Environment und dem IBM Java 2 Software Development Kit wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In den Drupal Third Party Modulen AddThis Button, Internationalization, Workflow und eTracker wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung. Bitte beachten Sie, dass Drupal Core von diesen Problemen nicht betroffen ist.

Im Drupal Core wurden verschiedene Sicherheitslücken gefunden. Fehlerbereinigte Software steht jetzt zur Verfügung.

Im Kernel von SUSE SLES 11 wurden mehrere Sicherheitslücken gefunden. Feherbereinigte Kernelpakete stehen jetzt zur Verfügung.

In der 'lppasswd' Komponente von CUPS wurde eine Sicherheitslücke gefunden, durch die ein lokaler Angreifer beliebigen Code mit Root Rechten ausführen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In CUPS wurde eine Sicherheitslücke gefunden, die durch RHSA-2009:1595 nicht vollständig behoben ist. Ein Angreifer kann über das Netzwerk den CUPS Server zum Absturz bringen. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

In 'sudo' wurden mehrere Sicherheitslücken gefunden, durch die ein lokaler Benutzer seine Rechte erweitern kann. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Im Microsoft Internet Explorer existiert eine Schwachstellle, durch die eine bösartig konstruierte Webseite mit VBScript und Windows Help beliebigen Code ausführen kann, wenn der Benutzer F1 drückt. Fehlerbereinigte Software steht noch nicht zur Verfügung.

In 'systemtap' wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer erweiterte Rechte erlangen kann.
In 'kvm', der Kernel-based Virtual Machine, wurden mehrere Sicherheitslücken gefunden, durch die ein Angreifer in einem Gast System seine Rechte im Gast System erweitern kann.
Fehlerbereinigte Pakete stehen jetzt zur Verfügung.

Host access rules, die "permit=" und "deny=" zusammen mit den "/0" CIDR Notation verwenden, liefern unvorhergesehene Ergebnisse. Fehlerbereinigte Software steht jetzt zur Verfügung.

In 'Samba' wurden zwei Sicherheitslücken gefunden: Eine Race Condition in 'mount.cifs' ermöglicht es lokalen Angreifer, Dateisysteme an beliebigen Stellen einzuhängen. Aufgrund einer fehlenden Bereinigung von Eingabedaten duch 'mount.cifs' kann ein lokaler Angreifer die Datei /etc/mtab zerstören. Fehlerbereinigte Pakete stehen jetzt zur Verfügung.