Archiv für Februar 2009

PHP 5.2.9 wurde veröffentlicht

28 Februar 2009

Am 26. Februar 2009 wurde eine neue Version von PHP (5.2.9) samt 50 Bug-Fixes veröffentlicht.

Näheres auf php.net

PS: Ein Upgrade bei Debian erfordert Lenny.

[Fixed] OpenBSD: Kritischer Bug in sudo

24 Februar 2009

In den OpenBSD Versionen 4.3 und 4.4 tritt folgender Fehler auf: Durch Manipulation des sudoers-File können lokale Angreifer sich su-Rechte verschaffen. Der Bug wurde bereits gefixt.

Debian 5.0 "Lenny" wurde veröffentlicht

15 Februar 2009

Etwa um 11 Uhr verkündete das Debian Projekt, dass die neueste Linux Distribution öffentlich gehen darf.

Offizielle Ankündigung

[Less Critical; Fixed] ProFTPD 1.3.1: SQL Injection

7 Februar 2009

Auf Grund unsauberen Codes ist es möglich SQL-Querys einzuspeisen. Um erfolgreich zu exploiten muss NLS-Support gegeben sein. Dies Betrifft die Version 1.3.1

Eine gepatchte Version (1.3.2) liegt bereits vor.

Bug-Anzeige beim Hersteller.
Changelog

[Highly Critical] Mozilla Firefox 3.x und Sea Monkey 1.1.x und Thunderbird 2.0.0.21

5 Februar 2009

Es gibt bei der aktuellen Version des Firefox verschiedene Sicherheitslücke.

1. Ein Fehler in der Layout-Engine erlaubt es Code auszuführen
2. Ein Fehler in der JavaScript-Engine erlaubt es Code auszuführen
3.  Eine Chrome-XBL-Methode in Kombination mit window.eval erlaubt es JavaScript-Code  auf fremden WebSeiten auszuführen
4. Die Wiederherstellung von Tabs erlaubt es die Controls mit beliebigen Inhalt zu füllen.
5. Das Aufrufen von priviligierten Dateien via Shortcuts (*.desktop) macht Code ausführbar.
6. Cookies die als HTTPOnly markiert wurden, können mithilfe von “XMLHttpRequest.getResponseHeader” und “XMLHttpRequest.getAllResponseHeaders” ausgelesen werden.
7.Es werden Seiten gecached, obwohl sie Direktiven beinhalten, dies nicht zutun: “Cache-Control: no-store” und “Cache-Control: no-cache”.

Die Fehler wurden alle in der aktuellsten Version behoben. Download.

Die Punkte 1, 2, 5 und 6 gelten ebenso für den Sea Monkey, es wird empfohlen JavaScript zu deaktiveren, und auf eine aktuellere Version zu arten. Download.

Die Punkte 1 und 2 gelten für den Thunderbird in der Version 2.0.0.21.  Download.