Security-Hinweise zu Googles SSO-System und SQL-Smuggling

Reiter überspringen »

Jetzt neu: Onlinezugriff auf das digitalisierte Archiv des Entwickler Magazins

Inhalte überspringen »

News

Donnerstag, 11. September 2008

Google hat eine Schwachstelle im SSO-System für Google Apps behoben, und von Comsec Consulting Research wurde ein Paper über 'SQL-Smuggling' veröffentlicht. Zu zwei der Bulletins von Microsofts September-Patchday (MS08-052 und MS08-055) und zu den Schwachstellen in Apples QuickTime wurden weitere Advisories mit ergänzenden Informationen veröffentlicht.

Schwachstelle im Single-Sign-on (SSO) für Google Apps behoben

Google hat sein SAML Single-Sign-on (SSO)-System aktualisiert, weil eine Schwachstelle entdeckt wurde, über die Angreifer die Authentifizierung umgehen konnten (US-CERT Vulnerability Note VU#612636).

SQL-Smuggling, eine neue Klasse von SQL-Injection-Angriffen?

Von Comsec Consulting Research wurde ein Paper über 'SQL-Smuggling' veröffentlicht (PDF), in dem beschrieben wird, wie übliche Schutzfunktionen gegen SQL-Injection-Angriffe einschließlich Web Application Firewalls umgangen werden können. Es wird dabei ausgenutzt, dass Anwendung und Datenbank die Daten unterschiedlich interpretieren.

Gefährliche Schwachstellen vom 10.09.2008

Jaw Portal / Zanfi CMS lite:
Einbinden lokaler Dateien, SQL-Injection und Heraufladen beliebiger Dateien möglich
Joomla!:
Mehrere Schwachstellen, die u.a. das Einschleusen von Variablen erlauben, behoben
Kim Websites:
Heraufladen beliebiger Dateien über fckeditor
Peachtree Accounting:
Unsichere Methode ExecutePreferredApplication im ActiveX-Control PAWWeb11.ocx erlaubt Ausführen beliebiger Programme
aspWebAlbum:
Heraufladen beliebiger Dateien, SQL-Injection und Cross-Site-Scripting möglich (vom 04.09.2008, aktualisiert)
Microsoft Office:
Schwachstelle in Microsoft Office OneNote erlaubt Ausführung beliebigen Codes (MS08-055) (vom 09.09.2008, aktualisiert)
Windows:
Mehrere Schwachstellen in GDI+ erlauben die Ausführung beliebigen Codes (MS08-052) (vom 09.09.2008, aktualisiert)
Apple QuickTime:
Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes (vom 09.09.2008, aktualisiert)

Carsten Eilers

weitere Infos:

Kommentare:

Fußzeile überspringen »

Haben Sie noch offene Fragen? Bei technischen Fragen wenden Sie sich bitte an den Webmaster.

Entwickler Magazin

Aktuelle Ausgabe

Erratum

Archiv

Redaktion

Leser-Service

Media-Service

News