Thema
Directory Traversing
Sybase stopft Löcher in Applikationsserver EAServer
Ein Update beseitigt zwei aus der Ferne ausnutzbare Schwachstellen. Da der Server in anderen Produkten enthalten ist, sind unter anderem auch Appeon und WorkSpace betroffen.
Sicherheits-Update für FTP-Server ProFTPD
Das Update auf Version 1.3.3c schließt zwei Sicherheitslücken. Eine davon lässt sich zum Einbruch in den Server missbrauchen.
ColdFusion-Lücke kritischer als ursprünglich angenommen
Anders als Adobe stufen Sicherheitsexperten die vergangene Woche gemeldete Directory-Traversing-Lücke als kritisch ein, da sich unter Umständen Passwörter auslesen lassen. Ein Exploit dafür kursiert bereits.
Cisco schließt zahlreiche Lücken in seinen Sicherheitsprodukten
Mehrere Updates sollen diverse Lücken in Firewall-Modulen, Intrusion-Detection-Systemen und Security Agents sowie dessen Managementsoftware schließen.
Schwachstelle in Samba ermöglicht Zugriff auf Dateien [Update]
Eine Schwachstelle beim Anlegen symbolischer Links lässt sich ausnutzen, um außerhalb der erlaubten Pfade Zugriff auf Dateien zu erhalten. Die Lücke ist aber nur ausnutzbar, wenn ein Angreifer auf einem Share Schreibrechte hat.
Sicherheits-Update für IM Pidgin
Durch einen präparierten Emoticon-Request war es möglich, beliebige Dateien vom PC eines Opfers herunterzuladen.
Directory-Traversal-Schwachstelle in Webserver nginx
Eine Schwachstelle im WebDAV-Modul ermöglicht Angreifern, Dateien außerhalb des spezifierten Wurzelpfades abzulegen.
Patch von HTC für Smartphones
Ein Sicherheits-Patch für HTC Touch Diamond, Touch Pro und Touch HD soll eine Sicherheitslücke in einem Bluetooth-Treiber schließen, durch die Angreifer eigene Dateien auf ein Gerät hochladen oder Daten ausspähen können.
Apple dichtet iDisk ab
Nach nur 24 Stunden hat der Hersteller eine Schwachstelle in seinem Online-Datenspeicher geschlossen, die unbefugten Zugriff auf die Daten anderer Nutzer ermöglichte.
Ciscos TFTP-Server ermöglicht unautorisierte Systemzugriffe
Eine Directory-Traversal-Schwachstelle in dem in CiscoWorks enthaltenen TFTP-Server ermöglicht unautorisierten Anwendern den Zugriff auf beliebige Dateien auf einem System. Ein Patch behebt den Fehler.
Sicherheitslücke in mehreren Druckern von HP
Druckermodelle mit Ethernetschnittstelle (JetDirect) weisen eine Sicherheitslücke auf, durch die aus der Ferne unautorisierter Zugriff auf das System möglich ist. Eventuell lassen sich auch zwischengespeicherten Dokumente auslesen.
Bluetooth-Lücke in Windows Mobile ermöglicht Zugriff auf beliebige Dateien
Eine Directory-Traversing-Schwachstelle im Bluetooth-OBEX-FTP-Server ermöglicht den Zugriff auf Dateien außerhalb des erlaubten Verzeichnisses. Für einen erfolgreichen Angriff ist allerdings in der Regel ein Pairing erforderlich.
Mehrere Schwachstellen im Jabber-Server OpenFire
Die Schwachstellen ermöglichen Angreifern unter anderem, ein System auf Basis des freien Server für das Instant-Messaging-Protokoll XMPP (Jabber) unter ihre Kontrolle zu bekommen oder es auszuspähen.
Sicherheits-Update für freien Dateiserver Samba
Durch Angabe eines leeren Share-Namens ist unter bestimmten Umständen der Zugriff auf das Wurzelverzeichnis des Servers möglich.
Fehler in VMwares CPU-Emulation ermöglicht höhere Zugriffsrechte
Ursache ist ein Fehler in der Verarbeitung von Trap-Flags. Ein Update des Herstellers behebt den Fehler.
Patch für Apache Struts schließt zwei Lücken
Unter anderem lassen sich serverseitige Objekte mittels präparierter OGNL-Befehle (Object-Graph Navigation Language) manipulieren. Die Entwickler stufen das Problem als kritisch ein.
Kritische Lücken in ARCserve Backup
CA ARCserve Backup weist mehrere Schwachstellen auf, durch die ein Angreifer das System übernehmen oder zumindest in seiner Stabilität beeinträchtigen kann. Updates bügeln die Fehler aus.
FTP-Server Serv-U verwundbar
Für den FTP-Server für Windows Serv-U sind auf dem Exploit-Portal milw0rm Anleitungen erschienen, wie man den Server zum Stillstand bringt und beliebige Dateien des Betriebssystems überschreibt.
heise online Themen