TecChannel Sicherheits-Report

Sicherheitslücken in openSUSE und phpMyAdmin geschlossen, Siemens verspricht die SCADA-Bugs zu schließen

Die Entwickler von phpMyAdmin haben eine neue Version für 3.x zur Verfügung gestellt. Eine kritische Schwachstelle in Thunar wurde ebenfalls bereinigt.

Insgesamt zwei Schwachstellen adressier phpMyAdmin 3.4.1. Die Sicherheitslücken lassen sich für Spoofing und Cross Site Scripting ausnutzen. Beide Schwachstellen haben mit nicht ausreichend überprüften Eingaben zu tun. Eine Sicherheitslücke könnte sich ausnutzen lassen, um beliebigen HTML- oder Script-Code in der Browser-Sitzung eines Anwenders ausführen zu lassen. Diese Lücke ist für Version 3.4.0 und Versionen vor 3.3.10.1 bestätigt. Die andere Schwachstelle könnte einen Anwender an eine beliebige Webseite weiterleiten. Diese ist nur in Version 3.4.0 vorhanden. Die Entwickler empfehlen ein Update auf phpMyAdmin 3.4.1: phpmyadmin.net, phpmyadmin.net

Die openSUSE-Entwickler haben ein Update für Thunar ausgegeben. Das alte Paket enthält eine kritische Sicherheitslücke, die unter Umständen Systemzugriffe zulässt. Betroffen ist openSUSE 11.4. Wie üblich erhalten Sie das aktualisierte Paket via zypper Software-Manager: hermes.opensuse.org

Siemens gelobt Besserung in Sachen SCADA-Fehler. Sicherheits-Experten haben eine angekündigte Demonstration abgeblasen auf Grund von Sicherheits-Bedenken. Nur einen Tag später sagte Siemens, dass man bereits an Updates arbeite und diese teste. Wann die Updates verfügbar sind wurde allerdings nicht gesagt. Seit Stuxnet reagieren nicht nur die Hersteller auf Bugs in industriellen Kontrollsystemen sehr empfindlich, sonder auch Regierungen und Geheimdienste haben Fehler in der Systemen lieber nicht veröffentlicht: networkworld.com

Spam-Kontrolle sollte in Zusammenarbeit mit den Banken stattfinden. Dies hat eine Analyse von Experten aus San Diego, Berkeley und Budapest ergeben. Die schwächste Stelle im Geschäftsmodell der Versender unerwünschter Nachrichten seien nämlich die Banken. Irgendwo hin müsse ja das verdiente Geld überwiesen werden. Würde man hier mit schwarzen Listen den Hebel ansetzen und alle zusammenarbeiten, könnte den Spammern schnell der Nährboden entzogen werden: cseweb.ucsd.edu (PDF) (jdo)