Sonntag, 12. Februar 2012
Security aktuell
Die neusten Infos in Kürze:
Ein Überblick über in einschlägigen Mailinglisten und
von Herstellern veröffentlichte Schwachstellen

zusammengestellt von Carsten Eilers
Achtung: Dies ist lediglich eine Übersicht über von den Entdeckern bereits an
anderer Stelle veröffentlichte Schwachstellen.
Alle Angaben ohne Gewähr.                                                                                         Kontakt
Sonntag, 2. Mai 2010

SQL-Injection, Cross-Site Scripting und Prüfen der Existenz von Dateien möglich

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: NolaPro

Vorzeichenfehler beim Verarbeiten von HTTP-Streams durch php_dechunk() erlaubt DoS-Angriffe

Systeme: PHP
Gefährdungsstufe: 3 - mittel

Cross-Site-Scripting über den Titel möglich

Systeme: Unix, Linux, *BSD, Mac OS X
Gefährdungsstufe: 3 - mittel
Programm: LXR Cross Referencer

Directory-Traversal-Schwachstelle beim Verarbeiten von Mailing List Subscription Requests erlaubt Ausspähen lokaler Dateien

Systeme: Windows
Gefährdungsstufe: 3 - mittel
Programm: MDaemon

Lesen möglicherweise binärer Daten aus dem 'key_file' als ASCII kann zu schwachen Schlüsseln führen

Systeme: Unix, Linux
Gefährdungsstufe: 2 - niedrig
Programm: Password Manager Daemon (pwmd)
Donnerstag, 29. April 2010

Einbinden entfernter Dateien über Parameter 'basePath' im Skript inc/config.php

aktualisiert
Systeme: PHP
Gefährdungsstufe: 5 - sehr hoch
Programm: deV!L`z Clanportal (DZCP)

Verwendung uninitialisierten Speichers beim ständigen Schreiben mit document.write() erlaubt evtl. Ausführung beliebigen Codes

aktualisiert
Systeme: Multi, Mac OS X, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Opera

Pufferüberlauf beim Senden bestimmter Testsequenzen an einen FTP-Server erlaubt Ausführung beliebigen Codes

Systeme: Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Internet Download Manager

SQL-Injection über den Benutzernamen beim Login erlaubt u.a. das Umgehen der Authentifizierung

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: TaskFreak!

SQL-Injection-Schwachstelle gefunden

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Tirzen Framework (TZN Framework)

SQL-Injection über den Benutzernamen beim Login erlaubt u.a. das Umgehen der Authentifizierung

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Your Article Directory

Heraufladen bestimmter Dateitypen ohne vorherige Authentifizierung möglich

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Zyke CMS

Umgehen der Authentifizierung für den Administrationsbereich durch direkten Aufruf der Skripte

Systeme: PHP
Gefährdungsstufe: 4 - hoch
Programm: Zyke CMS

Ausspähen der Quelltexte von JSP-Dateien möglich

aktualisiert
Systeme: Java
Gefährdungsstufe: 3 - mittel
Programm: Apache ActiveMQ

SQL-Injection 2. Grades und Cross-Site Scripting möglich

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: chCounter

SQL-Injection über Parameter 'product_id' im Skript demo/flashPlayer/playVideo.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: iScripts VisualCaster

SQL-Injection über Parameter 'id' und Cross-Site-Scripting über Parameter 'show' im Skript projects.php

Systeme: PHP
Gefährdungsstufe: 3 - mittel
Programm: Scratcher

Schwachstelle beim Verarbeiten von CSS erlaubt DoS-Angriffe

Systeme: Multi, Mac OS X, Windows
Gefährdungsstufe: 2 - niedrig
Programm: Apple Safari

Schwachstelle beim Erzeugen von Thumbnails erlaubt Betrachten beliebiger Bilder

Systeme: PHP
Gefährdungsstufe: 2 - niedrig
Programm: deV!L`z Clanportal (DZCP)
Mittwoch, 28. April 2010

Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes

aktualisiert
Systeme: Multi, Unix, Linux, Windows
Gefährdungsstufe: 5 - sehr hoch
Programm: Helix Server
« zurück      1 2 3 4 5 6 7 8 9 10      weiter »