Sie sind hier:
Home
»
Aktuelle Meldungen
»
Archiv
Archiv für März 2002März 2002
- [Generic/Listar,Ecartis] Gewinnung von root-Rechten durch E-Mail-Nachrichten (2002-03-27)
In Listar bzw. Ecartis sind über E-Mail ausnutzbare Pufferüberlauffehler
entdeckt worden.
- [Generic/Squid] Schwachstelle in der Verarbeitung von DNS-Antworten (2002-03-27)
Die Proxy-Software Squid kann mit sorgfältig gestalteten DNS-Antworten
zum Absturz gebracht werden. Möglicherweise kann ein Angreifer auch
beliebigen Code auf dem beherbergenden System ausführen.
- [MS/Windows NT,2000] Workaround für Debug-Privilegienerweiterung (2002-03-26)
Das RUS-CERT hat ein quelltextoffenes Programm (unter der GPL)
entwickelt, welches bis zur Verfügbarkeit eines Patches von Microsoft
verhindern kann, daß lokale
Benutzer durch Ausnutzung der \DbgSsApiPort-Schwachstelle
SYSTEM-Privilegien erhalten.
- [MS/Apache] Designfehler ermöglicht Ausführung beliebiger Shell-Kommandos auf Microsoft-Plattformen (2002-03-25)
Auf einer Apache-Installation unter Microsoft-Betriebssystemen können
CGI-Scripte, die als Batchdatei implemetiert sind, dazu mißbraucht
werden, beliebige Kommandos auf dem beherbergenden Rechnerystem
auszuführen.
- [Generic/Java Web Start] Java Web Start Applikationen können auf geschützte Ressourcen zugreifen (2002-03-20)
Über das Java Networking Launching Protocol (JNLP)
geladene, nicht vertrauenswürdige Java Web Start (JWS) Applikationen
können die Sicherheitsmechanismen der JWS-Umgebung unterlaufen und
auf geschützte Ressourcen des beherbergenden Systems zugreifen.
- [Generic/XDMCP] Schwachstelle im X Display Management Console Protocol Daemon (2002-03-20)
Die Standardkonfiguration des X Display Management Console Protocol
(XDMCP) Daemon erlaubt Verbindungen von beliebigen Hosts.
Angreifer können darüber möglicherweise eine
Auflistung der zugelassenen Benutzernamen eines verwundbaren Systems
erhalten.
- [Lotus/Domino] Schwachstellen in Lotus Domino (2002-03-20)
Durch mehrere Schwachstellen in Lotus Domino können lokale Angreifer
root-Privilegien auf dem beherbergenden System erlangen.
- [MS/IE] Schwachstelle im Microsoft Internet Explorer (2002-03-20)
Durch eine Schwachstelle im Microsoft Internet Explorer 6.0 ist
eine arglistige Webseite oder eine HTML-E-Mail in der Lage ohne
Interaktion des Betrachters Programmcode auszuführen.
- [Generic/JRE] Schwachstelle im Bytecode Verifier der JRE (2002-03-19)
Der Bytecode Verifier der Java Runtime Environment (JRE)
besitzt eine Schwachstelle, die einem untrusted Applet eine
nicht autorisierte Privilegienerweiterung ermöglicht und dazu ausgenutzt
werden kann, beliebigen Programmcode mit den Rechten des JRE-Prozesses
auszuführen.
- [MS/Windows NT,2000] Lokale Privilegienerweiterung durch Debugging-Subsystem - Update (2002-03-18)
Durch eine Schwachstelle im Debugging-Teilsystem von Windows NT/2000 ist
eine lokale Privilegienerweiterung möglich.
- [MS/IE] Patch für den Internet Explorer verfügbar - Update (2002-03-15)
Microsoft stellt einen Patch für den Internet Explorer zur Verfügung,
der eine Schwachstelle in VBScript bei der Validierung von Cross-Domain-Zugriffen
beseitigt. Durch diese Schwachstelle können arglistige Webseiten
oder HTML-E-Mails beliebige Dateien, die in einem Web-Browser darstellbar sind, auslesen.
- [MS/Windows] Buffer overflow bug im SNMP Dienst - Update (2002-03-15)
Durch einen Pufferüberlauf im SNMP-Dienst unter Microsoft Windows 95, 98,
98SE, NT 4.0, 2000 und XP kann ein Angreifer über eine Netzwerkverbindung
beliebigen Programmcode mit SYSTEM-Privilegien ausführen.
- [MS/SQL] Zahlreiche Pufferüberlauf-Schwachstellen im Microsoft SQL-Server (2002-03-14)
Der Microsoft SQL-Server weist zahlreiche Pufferüberlauf-Schwachstellen
in den extended stored procedures auf.
- [Generic/mod_frontpage] Pufferüberlauf im Apache-Modul mod_frontpage (2002-03-14)
Durch eine Pufferüberlauf-Schwachstelle in dem Apache-Modul
mod_frontpage kann beliebiger Programmcode auf dem beherbergenden
System ausgeführt werden.
- [Generic/Webbrowser] Cross-Site Scripting über Nicht-HTTP-Dienste (2002-03-14)
Über Serverdienste, die nicht HTTP implementieren, können
Cross-Site-Scripting-Angriffe durchgeführten werden, mit denen sich
beispielsweise Cookies auslesen lassen.
- [Trend Micro/InterScan VirusWall] Der HTTP-Virenfilter kann umgangen werden (2002-03-12)
Der HTTP-Virenfilter der VirusWall scannt in der Standardkonfiguration
Webseiten nicht, wenn der Webserver die Länge des Inhalts mit 0 angibt.
Über einen veränderten Webserver können Viren und Trojaner ungehindert
durch die VirusWall gelangen.
- [Generic/zlib] Heap-Korrumpierung in der Dekompressionsroutine (2002-03-12)
In der Dekompressionsroutine der zlib-Bibliothek ist ein
Programmierfehler enthalten, der zur Heap-Korrumpierung führen kann.
- [MS/IIS] Umgehung von Sicherheitsrichtlinien durch .HTR-Webseiten (2002-03-08)
Entgegen Sicherheitsrichtlinien ist mittels .htr-Webseiten eine
Änderung von Passwörtern möglich.
- [MS/Windows 98, NT, 2000] Pufferüberlauf-Schwachstelle in der Windows Shell (2002-03-08)
Die Microsoft Windows Shell weist eine Pufferüberlauf-Schwachstelle auf,
durch die mittels einer arglistigen Webseite oder HTML-E-Mail unter
gewissen Umständen beliebiger Programmcode auf dem diese Webseite/E-Mail betrachtenden
System ausgeführt werden kann.
- [MS/SQL Server] DoS-Angriff durch Pufferüberlauf-Schwachstelle - Update (2002-03-07)
Die xp_dirtree-Funktion des Microsoft SQL-Servers weist eine
Pufferüberlauf-Schwachstelle auf.
- [Generic/Tomcat] Schwachstelle im Tomcat Java-Server (2002-03-07)
Durch eine Schwachstelle bei der Verarbeitung von relativen Pfaden
in Servlets oder JSPs können beliebige Dateien ausgelesen werden.
- [Generic/Zope] Unautorisierter Zugriff auf Objekte durch Schwachstelle in Zope (2002-03-07)
Durch eine Schwachstelle in Zope ist für lokale Benutzer unautorisierter
Zugriff auf Objekte möglich.
- [Generic/JRE] Schwachstelle in der Java Runtime Environment (2002-03-07)
Eine Schwachstelle in der Java Runtime Environment (JRE) ermöglicht einem
untrusted applet einen Teil der Sicherheitsvorkehrungen
zu unterlaufen und die Kommunikation mit einem ggf. konfigurierten HTTP-Proxy
zu beobachten sowie den Datenverkehr auf einen beliebigen anderen Host umzuleiten.
- [Generic/JRE] Schwachstelle im Bytecode Verifier der JRE (2002-03-19)
Der Bytecode Verifier der Java Runtime Environment (JRE)
besitzt eine Schwachstelle, die einem untrusted Applet eine
nicht autorisierte Privilegienerweiterung ermöglicht und dazu ausgenutzt
werden kann, beliebigen Programmcode mit den Rechten des JRE-Prozesses
auszuführen.
- [Generic/OpenSSH] Schwachstelle im Channel-Code (2002-03-07)
Durch einen Fehler im Channel-Code von OpenSSH ist es auf einem System
existierenden Benutzern möglich, root-Rechte zu erlangen.
- [Generic/RADIUS] Zwei Schwachstellen in verschiedenen RADIUS-Implementierungen (2002-03-06)
Je eine Schwachstelle wurde in den Routinen zur Berechnung von
Hashwerten sowie
zur Auswertung hersteller- und benutzerspezifischer Attribute
vieler Implementierungen des RADIUS (Remote Authentication
Dial In User Service) Protokolls entdeckt. Beide können zu einem
Denial of Service-Angriff, ersterer
möglicherweise sogar zur Kompromittierung des beherbergenden
Rechnersystems ausgenutzt werden.
- [MS/IE] Umleitung von Webseiten bei der Verwendung eines Proxy-Servers (2002-03-05)
Die virtual machine (VM) weist eine Schwachstelle auf, wodurch
bei der Verarbeitung von Proxy-Server-Resourcen mittels eines
Java-Applets der Verkehr des Internet Explorers umgeleitet werden kann.
- [Generic/JRE] Schwachstelle in der Java Runtime Environment (2002-03-07)
Eine Schwachstelle in der Java Runtime Environment (JRE) ermöglicht einem
untrusted applet einen Teil der Sicherheitsvorkehrungen
zu unterlaufen und die Kommunikation mit einem ggf. konfigurierten HTTP-Proxy
zu beobachten sowie den Datenverkehr auf einen beliebigen anderen Host umzuleiten.
- [GNU/Linux] IRC-Unterstützung in netfilter kann Paketfilter aushebeln (2002-03-01)
Durch einen Fehler in der IRC-Verbindungsverfolgung kann ein Angreifer unter Umständen den Paketfilter instruieren, weitestgehend
beliebige TCP-Verbindungen durchzulassen.
- [MS/IE] Schwachstelle im Microsoft Internet Explorer (2002-03-01)
Durch eine Schwachstelle im Microsoft Internet Explorer kann eine
arglistige Webseite oder HTML-E-Mail ohne Active Scripting oder ActiveX
beliebige Programme aufrufen.
- [Cisco/IOS] Schwachstelle im Cisco Express Forwarding (CEF) (2002-03-01)
Eine Schwachstelle im Cisco Express Forwarding (CEF) kann dazu
ausgenutzt werden, Inhaltsfragmente bereits vorher weitergeleiteter
Pakete auszulesen.
- [MS/Windows 2000, Windows XP, Exchange 2000] DoS gegen SMTP-Dienst (2002-03-01)
Durch eine Schwachstelle im SMTP-Dienst ist ein Denial of Service (DoS) Angriff
gegen diesen Dienst möglich.
- [MS/Windows 2000,Exchange 5.5] Fehlerhafte Authentifizierung im SMTP-Dienst (2002-03-01)
Microsoft Windows 2000 mit installiertem SMTP-Dienst und Microsoft
Exchange 5.5 Server weisen eine Schwachstelle auf, wodurch Angreifer
über eine Netzverbindung unautorisierten Zugang zum SMTP-Dienst erlangen können um
darüber beispielsweise Spam zu verbreiten.
Andere Monate
|
