Sonntag, 12. Februar 2012
Security aktuell
Die neusten Infos in Kürze:
Ein Überblick über in einschlägigen Mailinglisten und
von Herstellern veröffentlichte Schwachstellen

zusammengestellt von Carsten Eilers
Achtung: Dies ist lediglich eine Übersicht über von den Entdeckern bereits an
anderer Stelle veröffentlichte Schwachstellen.
Alle Angaben ohne Gewähr.                                                                                         Kontakt
Mittwoch, 28. April 2010

Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes

aktualisiert
Systeme: Multi, Unix, Linux, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Helix Mobile Server

SQL-Injection über den Benutzernamen beim Einloggen erlaubt u.a. das Umgehen der Authentifizierung

Systeme: Windows
Gefährdungsstufe: 4 - hoch
Programm: Tele Data Contact Management Server

SQL-Abfrage beachtet Zugriffsbeschränkungen nicht, so das Benutzer Listings von für sie nicht bestimmten Nodes sehen können

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Drupal/Decisions Module

Manipulation der Einstellungen für die Benachrichtigungsmails durch Benutzer mit 'read privatemsg'-Rechten möglich

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Drupal/Privatemsg Module

Cross-Site-Request-Forgery-Schwachstelle gefunden

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: gpEasy

Mehrere Cross-Site-Scripting-Schwachstellen gefunden

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: iScripts SocialWare

SQL-Injection über Parameter 'adnum' im Skript casting_view.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Modelbook

SQL-Injection über Parameter 'cat' im Skript browse.html

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: PHP Video Battle

SQL-Injection über Parameter 'browse' im Skript search_results.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: SoftBiz Dating Script

SQL-Injection über Parameter 'cid' im Skript browsecats.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Softbiz Web Hosting Directory Script

Schwachstelle beim Verarbeiten von extrem vielen <marquee>-Tags erlaubt DoS-Angriffe

aktualisiert
Systeme: Multi, Mac OS X, Windows
Gefährdungsstufe: 2 - niedrig
Programm: Apple Safari
Dienstag, 27. April 2010

Schwachstellen in den verwendeten MS Visual C++ Libraries der Windows-Version erlauben die Ausführung beliebigen Codes und das Ausspähen sensitiver Informationen

aktualisiert
Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: HP ProLiant Support Pack

Pufferüberlauf-Schwachstelle in der Methode RegisterCom() im ActiveX-Control AntCore.dll erlaubt Ausführung beliebigen Codes

Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: BigAnt Messenger

Umgehen der Same Origin Policy in Google URL (GURL) und evtl. Ausführung beliebigen Codes möglich

Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Google Chrome

Schwachstelle im Treiber aavmker4.sys erlaubt lokale Privilegieneskalation

aktualisiert
Systeme: Windows
Gefährdungsstufe: 4 - hoch
Programm: avast! Antivirus

SQL-Injection über den Benutzernamen und das Passwort im Skript index.php erlaubt u.a. das Umgehen der Authentifizierung

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: 2daybiz Auction Script

Cross-Site Scripting und Heraufladen beliebiger Dateien möglich

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Custom CMS Gaming (CCMS Gaming)

SQL-Injection über den Benutzernamen und das Passwort im Skript agentadmin.php erlaubt u.a. das Umgehen der Authentifizierung

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: FreeRealty

Einbinden lokaler Dateien über Parameter 'file' im Skript module.php, wenn module=helpcenter ist

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Help Center Live

SQL-Injection über den Benutzernamen und das Passwort im Skript login.php erlaubt u.a. das Umgehen der Authentifizierung, außerdem XSS über die Suchfunktion möglich

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: i-Net Online Community
« zurück      1 2 3 4 5 6 7 8 9 10 11      weiter »