Dienstag, 16. März 2010
Security aktuell
Die neusten Infos in Kürze:
Ein Überblick über in einschlägigen Mailinglisten und
von Herstellern veröffentlichte Schwachstellen

zusammengestellt von Carsten Eilers
Achtung: Dies ist lediglich eine Übersicht über von den Entdeckern bereits an
anderer Stelle veröffentlichte Schwachstellen.
Alle Angaben ohne Gewähr.                                                                                         Kontakt
Montag, 15. März 2010

Zwei Schwachstellen erlauben Cross-Domain-Requests und die Ausführung beliebigen Codes

aktualisiert
Systeme: Multi, Unix, Linux, Mac OS X, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Adobe Reader

Einschleusen beliebiger Shellbefehle, die mit root-Rechten ausgeführt werden, möglich

aktualisiert
Systeme: Unix, Linux
Gefährdungsstufe: 5 - sehr hoch
Programm: Spamassassin Milter

Pufferüberlauf beim Verarbeiten präparierter .m3u/.pls/.ypl-Dateien erlaubt Ausführung beliebigen Codes

aktualisiert
Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Yahoo! Player

0-Day-Schwachstelle erlaubt Ausführung beliebigen Codes

aktualisiert
Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Microsoft Internet Explorer

Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes und das Ausspähen sensitiver Informationen

aktualisiert
Systeme: Multi, Mac OS X, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Apple Safari

Einschleusen beliebiger Shell-Befehle über Parameter 'forgot' im Skript forgotpassword.php

Systeme: Linux
Gefährdungsstufe: 5 - sehr hoch
Programm: MicroWorld eScan Antivirus für Linux

Einbinden entfernter Dateien über Parameter 'basePath' im Skript inc/config.php

Systeme: PHP
Gefährdungsstufe: 5 - sehr hoch
Programm: deV!L`z Clanportal (DZCP)

Einschleusen beliebiger Shellbefehle über das Webinterface möglich

Systeme: Hardware
Gefährdungsstufe: 4 - hoch
Programm: Chumby

Einbinden lokaler Dateien über Parameter 'LANG_CODE' im Skript codelib/cfg/common.inc.php

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: AdFreely

Einbinden lokaler Dateien und SQL-Injection möglich

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: GeekHelps ADMP

Einbinden lokaler Dateien über Parameter 'controller'

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Joomla/GCalendar Component

Einbinden lokaler Dateien über Parameter 'controller'

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Joomla/JuliaPortfolio Component

Einbinden lokaler Dateien über Parameter 'controller'

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Joomla/Ninja RSS Syndicator Component

Einbinden lokaler Dateien über Parameter 'controller'

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Joomla/Ulti RPX Component

Umgehen der Authentifizierung möglich

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: RogioBiz PHP File Manager

Schwachstelle beim Verarbeiten bestimmter FTP-Befehle erlaubt DoS-Angriffe, z.B. durch FTP-USER- und PASS-Befehle mit einem Nullbyte als Parameter

Systeme: Windows
Gefährdungsstufe: 4 - hoch
Programm: httpdx

Cross-Site-Scripting über Parameter 'name' in in CMD_DB_VIEW, wenn DOMAIN gesetzt ist

Systeme: Linux, *BSD / FreeBSD
Gefährdungsstufe: 3 - mittel
Programm: DirectAdmin

SQL-Injection über Parameter 'id' im Skript index.php, wenn a=d ist

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Domain Verkaufs- & Auktions Portal

SQL-Injection über Parameter 'bid' im Skript ad_click.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: PHP Classifieds

Community Black ... Forum] SQL-Injection über Parameter 's_flaeche' im Skript index.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Systemsoftware.mobi Community Black Chat Radio Videothek Games Bilder Forum
1 2 3 4 5 6      weiter »