Schwachstellen in VMware ESX-Server, ungeflickte Lücke im Linux-Kernel, HP und Asterisk aktualisieren

Ein Fehler im e1000-Treiber-Paket lässt sich für das Umgehen von Sicherheitsrichtlinien ausnutzen. Das gilt sowohl für VMware ESX Server und ESXi 3.x als auch 4.x. Während für Variante 3.x die Sicherheitslücke teilweise bereinigt ist, bleibt die Schwachstelle in 4.x vorerst ungeflickt. Des Weiteren ist VMware ESX Server 3.x von weiteren Sicherheitslücken geplagt, die sich für DoS-Angriffe ausnutzen lassen. Auch hier gibt es teilweise Flicken. Alle Sicherheitslücken sind als weniger kritisch eingestuft: lists.vmware.com,

Die Entwickler von Asterisk haben ein Update für Version 1.x ausgegeben. Darin wird eine als weniger kritisch eingestufte Sicherheitslücke bereinigt. Der Fehler liegt in der Funktion parse_uri_full() in der Datei channels/sip/reqresp_parser.c. Mit speziell manipulierten Kontakt-Headern lässt sich die Software zum Absturz bringen. Die Sicherheitslücke befindet sich Berichte zufolge in Version 1.8.x vor 1.8.4.2. Administratoren sollten das bereitgestellte Update zeitnah einspielen: download.asterisk.org

Hewlett Packard hat ein wichtiges Update für JRE/JDK für HP/UX zur Verfügung gestellt, das mehrere Sicherheitslücken bereinigt. Die Schwachstellen sind als hoch kritisch eingestuft und lassen sich für Datenmanipulation, Enthüllung sensibler Daten, DoS-Angriffe und Systemzugriff ausnutzen. Betroffen ist HP-UX 11.x. Administratoren sollten das Update so schnell als möglich einspielen, um die Schwachstellen zu schließen: h2000.www2.hp.com

Eine ungeflickte Sicherheitslücke im Linux-Kernel könnte sich zu DoS-Angriffen ausnutzen lassen. Der Angreifer muss sich dazu allerdings auf dem lokalen System befinden. Die Sicherheitslücke ist als nicht kritisch eingestuft. Betroffen ist Linux Kernel 2.6.x. Auslöser ist ein Fehler in der Funktion scan_get_next_rmap_item()in der Datei mm/ksm.c. Die Schwachstelle befindet sich in Version 2.6.39. Andere Ausgaben könnten ebenfalls anfällig sein: lkml.org (jdo)