Donnerstag, 11. März 2010
Security aktuell
Die neusten Infos in Kürze:
Ein Überblick über in einschlägigen Mailinglisten und
von Herstellern veröffentlichte Schwachstellen

zusammengestellt von Carsten Eilers
Achtung: Dies ist lediglich eine Übersicht über von den Entdeckern bereits an
anderer Stelle veröffentlichte Schwachstellen.
Alle Angaben ohne Gewähr.                                                                                         Kontakt
Mittwoch, 10. März 2010

Directory-Traversal-Schwachstelle im Skript index.php erlaubt Auflisten und Anlegen beliebiger Verzeichnisse sowie Löschen beliebiger Dateien über den Parameter 'cam'

aktualisiert
Systeme: PHP
Gefährdungsstufe: 5 - sehr hoch
Programm: PHP File Sharing System

Pufferüberlauf-Schwachstelle im EAI WebViewer3D ActiveX-Control erlaubt Ausführung beliebigen Codes

aktualisiert
Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: SAP GUI

Zwei Schwachstellen erlauben Cross-Domain-Requests und die Ausführung beliebigen Codes

aktualisiert
Systeme: Multi, Unix, Linux, Mac OS X, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Adobe Reader

Hintertür gefunden

aktualisiert
Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Energizer DUO Charger Software

Sieben Schwachstellen erlauben die Ausführung beliebigen Codes (MS10-017)

aktualisiert
Systeme: Multi, Mac OS X, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Microsoft Excel

0-Day-Schwachstelle erlaubt Ausführung beliebigen Codes

aktualisiert
Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Microsoft Internet Explorer

Schwachstelle in mod_isapi erlaubt Ausführung beliebigen Codes, außerdem XSS-Schwachstelle in mod_proxy_ftp gefunden

Systeme: Multi, Unix, Linux, *BSD, Mac OS X, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Apache

Pufferüberlauf beim Verarbeiten präparierter DICOM-Dateien erlaubt Ausführung beliebigen Codes

Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: XnView

Pufferüberlauf beim Verarbeiten überlanger Parameter für bestimmte FTP-Befehle erlaubt Ausführung beliebigen Codes

aktualisiert
Systeme: Windows
Gefährdungsstufe: 4 - hoch
Programm: UplusFtp Server

Zugriff auf die Verzeichnisse mit den E-Mails möglich

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Uebimiau

Herunterladen des Datenbank-Backups, SQL-Injection und Ausspähen des Datenbankpassworts aus der Prozessliste möglich

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Employee Timeclock Software

Pufferüberlauf-Schwachstelle im rmt-Client erlaubt Ausführung beliebigen Codes

Systeme: Unix, Linux
Gefährdungsstufe: 4 - hoch
Programm: GNU Tar

Pufferüberlauf-Schwachstelle im rmt-Client erlaubt Ausführung beliebigen Codes

Systeme: Unix, Linux
Gefährdungsstufe: 4 - hoch
Programm: GNU Cpio

Cross-Site-Scripting über die 'Title'- und 'Subject'-Felder im 'Contact'-Modul

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Croogo CMS

SQL-Injection über Parameter 'id'

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Joomla/HezaContent Component

SQL-Injection über Parameter 'c' im Skript search.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: MH Products Kleinanzeigenmarkt

SQL-Injection über Parameter 'id' im Skript NUs.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: NUs Newssystem

SQL-Injection über Parameter 'maxarticles' im Skript index.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: RSStatic

SQL-Injection über Parameter 'page_id' im Skript page.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Wild CMS

Schwachstelle bei der Zuordnung von Programmen erlaubt Privilegieneskalation

Systeme: Windows
Gefährdungsstufe: 3 - mittel
Programm: Lenovo Hotkey Driver
1 2 3 4 5 6      weiter »