Freitag, 21. November 2008
Security aktuell
Die neusten Infos in Kürze:
Ein Überblick über in einschlägigen Mailinglisten und
von Herstellern veröffentlichte Schwachstellen

zusammengestellt von Carsten Eilers
Achtung: Dies ist lediglich eine Übersicht über von den Entdeckern bereits an
anderer Stelle veröffentlichte Schwachstellen.
Alle Angaben ohne Gewähr.                                                                                         Kontakt
Donnerstag, 20. November 2008

Heraufladen beliebiger Dateien über FCKeditor

Systeme: PHP
Gefährdungsstufe: 5 - sehr hoch
Programm: Alex Article-Engine

Heraufladen beliebiger Dateien über FCKeditor

Systeme: PHP
Gefährdungsstufe: 5 - sehr hoch
Programm: Alex News-Engine

Heraufladen beliebiger Dateien über das Skript admin/upload_form.php

Systeme: PHP
Gefährdungsstufe: 5 - sehr hoch
Programm: wPortfolio

Pufferüberlauf beim Verarbeiten präparierter XPM-Dateien erlaubt Ausführung beliebigen Codes

Systeme: Unix, Linux
Gefährdungsstufe: 5 - sehr hoch
Programm: imlib2

Mehrere Schwachstellen erlauben u.a. Cross-Site-Scripting-Angriffe und das Umgehen der Authentifizierung

aktualisiert
Systeme: Multi, Unix, Linux, Windows
Gefährdungsstufe: 4 - hoch
Programm: Sun Java System Identity Manager

SQL-Injection über den Benutzernamen und das Passwort im Skript Employee/emp_login.asp erlaubt u.a. Umgehen der Authentifizierung

Systeme: ASP
Gefährdungsstufe: 4 - hoch
Programm: Pre ASP Job Board

Mehrere Schwachstellen im Remote Agent erlauben das Umgehen der Authentifizierung und die Ausführung beliebigen Codes

Systeme: Multi, Unix, Linux, Mac OS X, Windows
Gefährdungsstufe: 4 - hoch
Programm: Symantec Backup Exec for Windows Servers

SQL-Injection über das Passwort beim Login erlaubt u.a. Umgehen der Authentifizierung

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: AskPert

Einbinden lokaler Dateien über Parameter 'pun_user[language]' in mehreren Skripten

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: PunBB/Private Messaging System

Nicht näher beschriebene SQL-Injection-Schwachstelle behoben

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: xt:Commerce

Umgehen der Authentifizierung, Ausspähen sensitiver Informationen und Cross-Site-Scripting über SNMP-Injection möglich

Systeme: Hardware
Gefährdungsstufe: 3 - mittel
Programm: 3Com Wireless 8760 Dual Radio 11a/b/g PoE Access Point

Unsichere Verwendung temporärer Dateien durch das Skript passwdehd erlaubt Überschreiben beliebiger Dateien über SymLink-Angriffe

Systeme: Linux
Gefährdungsstufe: 3 - mittel
Programm: pam_mount

SQL-Injection durch authentifizierter Benutzer über Parameter 'send' im Skript index.php, wenn a=notes ist

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: MyTopix

Mehrere Cross-Site-Scripting-Schwachstellen behoben

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: refbase

SQL-Injection über das Passwort beim Login erlaubt u.a. Umgehen der Authentifizierung

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: RevSense

Mehrere Cross-Site-Scripting-Schwachstellen behoben

Systeme: Unix, Linux
Gefährdungsstufe: 3 - mittel
Programm: HP OpenView Network Node Manager

Unsichere Verwendung temporärer Dateien durch das Skript trend-autoupdate erlaubt Überschreiben beliebiger Dateien über SymLink-Angriffe

Systeme: Unix, Linux
Gefährdungsstufe: 3 - mittel
Programm: MailScanner

Unsichere Verwendung temporärer Dateien durch das Skript bluetooth.rc erlaubt Überschreiben beliebiger Dateien über SymLink-Angriffe

Systeme: Unix, Linux
Gefährdungsstufe: 3 - mittel
Programm: P3nfs

Unsichere Verwendung temporärer Dateien durch das Skript sbin/si_mkbootserver erlaubt Überschreiben beliebiger Dateien über SymLink-Angriffe

Systeme: Unix, Linux
Gefährdungsstufe: 3 - mittel
Programm: SystemImager
Mittwoch, 19. November 2008

Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes

aktualisiert
Systeme: Multi, Linux, Mac OS X, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Mozilla Firefox
1 2 3 4 5 6      weiter »