Inhalte überspringen »
Security aktuell
Die
neusten Infos in Kürze:
Ein Überblick über in einschlägigen Mailinglisten und
von Herstellern veröffentlichte Schwachstellen
Ein Überblick über in einschlägigen Mailinglisten und
von Herstellern veröffentlichte Schwachstellen
zusammengestellt von Carsten Eilers
Achtung:
Dies ist lediglich eine Übersicht über von den Entdeckern bereits an
anderer Stelle veröffentlichte Schwachstellen.
anderer Stelle veröffentlichte Schwachstellen.
Alle Angaben ohne Gewähr.
Kontakt
Mittwoch, 28. April 2010
Einbinden lokaler Dateien über Parameter 'file' im Skript module.php, wenn module=helpcenter ist
Systeme: PHP
Programm: Help Center Live
SQL-Injection über den Benutzernamen und das Passwort im Skript login.php erlaubt u.a. das Umgehen der Authentifizierung, außerdem XSS über die Suchfunktion möglich
Systeme: PHP
Programm: i-Net Online Community
SQL-Injection über den Benutzernamen und das Passwort im Skript agentadmin.php erlaubt u.a. das Umgehen der Authentifizierung
Systeme: PHP
Programm: FreeRealty
Cross-Site Scripting und Heraufladen beliebiger Dateien möglich
Systeme: PHP
Programm: Custom CMS Gaming (CCMS Gaming)
SQL-Injection über den Benutzernamen und das Passwort im Skript index.php erlaubt u.a. das Umgehen der Authentifizierung
Systeme: PHP
Programm: 2daybiz Auction Script
Schwachstelle im Treiber aavmker4.sys erlaubt lokale Privilegieneskalation
aktualisiert
Systeme: Windows
Programm: avast! Antivirus
Mehrere Schwachstellen erlauben XSS, CSRF und Privilegieneskalation
Systeme: Multi, Unix, Linux, Windows
Programm: HP Systems Insight Manager (SIM)
Durch Benutzer mit 'Administer filters'-Rechten ausnutzbare Cross-Site-Scripting-Schwachstelle gefunden
Systeme: PHP
Programm: Drupal/Better Formats Module
Dienstag, 27. April 2010
Schwachstelle im Media Services auf Windows 2000 Server SP4 erlaubt Ausführung beliebigen Codes (MS10-025)
aktualisiert
Systeme: Windows
Zwei Schwachstellen erlauben Ausführung beliebigen Codes
aktualisiert
Systeme: Multi, Linux, Windows
Programm: Novell ZENworks Configuration Management
Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes
aktualisiert
Systeme: Multi, Unix / Sun Solaris, Linux, Windows
Programm: Sun Java
Schwachstellen in verschiedenen Produkten erlauben u.a. die Ausführung beliebigen Codes
aktualisiert
Systeme: Multi
Programm: Oracle-Produkte
Directory-Traversal-Schwachstelle beim Verarbeiten von HTTP-Requests erlaubt Lesen beliebiger Dateien außerhalb des Webroot-Verzeichnisses
Systeme: Multi, Unix / Sun Solaris, Linux, *BSD / FreeBSD, Mac OS X, Windows
Programm: Wing FTP Server
Pufferüberlauf beim Verarbeiten präparierter Projekt-Dateien (*.ipj) erlaubt Ausführung beliebigen Codes
Systeme: Windows
Programm: IDEAL Migration
Pufferüberlauf beim Verarbeiten präparierter Projekt-Dateien (*.ipj) erlaubt Ausführung beliebigen Codes
Systeme: Windows
Programm: IDEAL Administration
SQL-Injection mit Möglichkeit zum Umgehen der Authentifizierung und Cross-Site Scripting möglich
Systeme: PHP
Programm: 2daybiz Advanced Poll Script (Polls Script)
SQL-Injection über den Benutzernamen und das Passwort im Skript system_member_login.php erlaubt u.a. das Umgehen der Authentifizierung
Systeme: PHP
Programm: Infocus Real Estate Enterprise Edition
