Das Administrative Universum » Sicherheit

Schwachstelle im SSL/TLS-Design [Update]

oliver — Mon, 16 Nov 2009 16:05:08 +0000

Laut heise.de ist ein Designfehler im SSL/TLS-Protokoll bekannt geworden. Mit diesem lassen sich die Inhalte einer geschützten Verbindung manipulieren und z.B. Schadcode einzuschleusen. Betroffen sind HTTPS und andere durch TLS geschützte Protokolle wie IMAP. Eine genauere Beschreibung und weitere Links liefert der heise-Artikel.

[Update]

Durch diese Lücke soll, laut einer Meldung auf heise.de, Passwortklau möglich sein!

WordPressupdate

oliver — Fri, 13 Nov 2009 15:04:00 +0000

Für WordPress steht ein Update bereit. In der Version 2.8.6 wurden auch einige Sicherheitslücken gefixt. Eine deutsche Version steht auch schon bereit und bringt auch wieder eingedeutschte Elemente zurück. Beim letzten Update waren einige engliche Bezeichnungen nicht übersetzt worden. Also – nix wie einspielen. Dieser Blog läuft bereits auf der aktuellen Version.

Schwachstelle im SMB Client

oliver — Thu, 12 Nov 2009 21:51:52 +0000

Im SMB-Client von Windows 7 und Windows Server 2008 R2 ist eine Schwachstelle enthalten, welche das ganze System lahmlegen kann. Eine manipulierte Webseite mit einem entsprechenden Link auf einen SMB-Server, welcher fehlerhafte NetBIOS-Header sendet, reicht aus, um den SMB-Client in eine Endlosschleife zu bringen. Weitergehende Informationen gibt es im entsprechenden Beitrag auf heise.de.

Schwachstelle in GIMP

oliver — Thu, 12 Nov 2009 21:39:42 +0000

Laut Secunia soll das freie Zeichenprogramm GIMP eine Schwachstelle aufweisen. Bei der Verarbeitung manipulierter BMP-Dateien kann Schadcode auf dem System ausgeführt werden. Die Entwickler arbeiten bereits an einem Patch. Dieser ist laut heise.de bereits im Quellcode-Repositiory vorhanden. Wer nutzt eigentlich noch BMP?

Sicherheitsupdate fuer Safari

oliver — Thu, 12 Nov 2009 15:48:05 +0000

Apple hat heute ein Sicherheitsupdate für Safari veröffentlicht. Die Windowsversionen des Browsers schließen zwei kritische Lücken mit denen Schadsoftware eingeschleust werden kann. Die anderen Schwachstellen in libxml und Webkit betreffen alle Versionen und führen lediglich zum Absturz. Trotzdem: bitte updaten!

Sicherheitsupdate für Google Chrome

oliver — Fri, 06 Nov 2009 11:41:44 +0000

Die neue Version von Google Chrome behebt Sicherheitslücken bei der Behandlung von den Dateitypen SVG, MHT und XML. Außerdem wird ein Fehler in der Gears SQL API behoben. Nähere Details finden Sie hier.

Schwachstelle im SSL/TLS-Design

oliver — Thu, 05 Nov 2009 13:49:04 +0000

Sicherheitsluecke im Linux- und FreeBSD-Kernel

oliver — Wed, 04 Nov 2009 12:06:08 +0000

Aufgrund einer Lücke im Linux-Kernel kann ein Benutzer root-Rechte auf einem Linux-System erlangen. Der Fehler wird erst in dem in Entwicklung befindlichen Kernel 2.6.32 RC6 behoben. In älteren Kernelversionen kann man jedoch durch das Setzen der Kernel-Systemvariable mmap_min_addr auf einen Wert größer Null den Angriff verhindern. Laut heise Security wird möglicherweise noch heute ein ensprechender Exploit veröffentlicht!

In Ubuntu ist dieser Wert standardmäßig auf 65536 gesetzt. In Debian und Red Hat-Distributionen dagegen ist ein Angriff möglich. Sicherheitsupdates für diese Distributionen folgen sicherlich in den nächsten Stunden. Gleiches gilt auch für FreeBSD und deren Derivaten.

Den aktuellen Wert kann man wie folgt ermitteln:

sysctl vm.mmap_min_addr

Der Wert der Systemvariable kann wie folgt auf einen höheren Wert gesetzt werden:

sysctl -w vm.mmap_min_addr="4096"

Änderungen an dieser Variable sind jedoch nur bis zum nächsten Reboot gültig!

Sicherheitsupdate fuer Java

oliver — Wed, 04 Nov 2009 10:28:02 +0000

Sun hat ein Update seiner Java Laufzeitumgebung veröffentlicht. Durch dieses Update (Java 6 Update 17) werden mehrere Sicherheitslücken geschlossen. Die neueste Version von Java erhält man wie immer unter java.com.

Sicherheitsupdate fuer den Shockwave Player

oliver — Wed, 04 Nov 2009 09:47:33 +0000

Adobe hat ein Update für den Shockwave Player veröffentlicht. Der Shockwave Player ist jedoch nicht der Adobe Flash Player. Dieser ist jedoch im Shockwave Player enthalten. Die meisten Nutzer haben sicherlich nur den Flash Player installiert. Zur Sicherheit sollte man aber vielleicht doch mal seine Softwareliste durchschauen.