TecChannel Sicherheits-Report

SUSE flickt Subversion, Schwachstelle in Dreambox, Debian 6.0.2, Pidgin 2.9.0 veröffentlicht, gefährliche Lücken in Winamp

Eine derzeit nicht geschlossene Sicherheitslücke in Dreambox DM800 könnte zur Enthüllung von sensiblen Informationen führen.

In Dreambox DM800 ist eine weniger kritische Sicherheitslücke. Diese könnte sich ausnutzen lassen, um System- oder sensible Informationen zu enthüllen. Eingaben in den Parameter file m file-Script überprüft die Software nicht ausreichen, bevor Dateien heruntergeladen werden. Die Schwachstelle ist für Firmware-Version 4.6.0 2009-12-24 bestätigt. Ein Update gibt es bisher nicht. Anwender sollten einen Proxy oder eine Firewall nutzen, um schädliche Anfragen zu filtern: secunia.com

Winamp 5.x ist von hoch kritischen Schwachstellen geplagt. Diese lassen sich für Systemzugriffe ausnutzen. Insgesamt handelt es sich um neun Sicherheitslöcher, für die es kein Update gibt. Bestätigt sind die Schwachstellen für Version 5.61. Andere Versionen könnten ebenfalls betroffen sein. Anwender sollten nur vertrauenswürdige Dateien öffnen: altervista.org, altervista.org

Pidgin 2.9.0 behebt unter anderem eine Schwachstelle, die sich für DoS-Angriffe ausnutzen lässt. Durch speziell präparierte GIF-Dateien und ein Fehler bei der Behandlung von Buddy-Symbolen ist ein Angriff möglich. Version 2.9.0 ist für Windows, Mac OS X und als Quellcode verfügbar: pidgin.im

Für openSUSE 11.3 und 11.4 stehen Sicherheits-Updates für subversion zur Verfügung. Diese beheben mehrere Schwachstellen in subversion. Denkbar sind DoS-Angriffe. Die Lücken sind als kritisch eingestuft. Anwender können aktuelle Pakete mittels zypper-Paketmanager einspielen: hermes.opensuse.org, hermes.opensuse.org

Es gibt eine Sicherheits-Ausgabe von Debian. Version 6.0.2 adressiert ungefähr 70 Pakete, die mitunter kritische Schwachstellen bereinigen. Die Software ktsuss wurde komplett aus dem Programm genommen. Auch sie enthält Schwachstellen, wird aber nicht länger gewartet: tecchannel.de

Die Entwickler von Apache Tomcat haben eine Sicherheits-Anweisung zur Verfügung gestellt. Die Sicherheitslücke könnte dazu führen, dass Administratoren mit JMX-Zugriff oder mit Leserechten der tomcat-users.xml-Dateien die Passwörter von Anwender auslesen können. Das trifft auch für Anwender zu, die Zugriff auf Log-Dateien haben. Die Sicherheitslücke ist als niedrig eingestuft. Betroffen sind Tomcat 7.0.0 bis 7.0.16, 6.0.0 bis 6.0.32 und 5.5.0 bis 5.5.33. Ältere, nicht mehr unterstützte Varianten könnten ebenfalls anfällig sein. Updates auf die Versionen 7.0.17, 6.0.33 oder 5.5.34 beheben das Problem: tomcat.apache.org, tomcat.apache.org, tomcat.apache.org, tomcat.apache.org (jdo)