(vr) – Eine Reihe von Schwachstellen im Customer Relationshop Management System XRMS erlauben das Ausspähen von Daten sowie die Einspeisung von Code per XSS-Angriff.
Nach einer Meldung von Secunia treten die Sicherheitslücken in Version 1.99.2 von XRMS CRM auf. Andere Versionen der CRM-Software sind unter Umständen ebenfalls betroffen. Durch den Aufruf von „tests/info.php“ können Angreifer sich Informationen über die PHP- und Systemkonfiguration a la „phpinfo()“ verschaffen. Dieses Script sollte entfernt werden. Die zweite Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „msg“ in der Datei „login.php“. Durch gezielte Manipulation dieses Parameters können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer XRMS CRM Benutzer einspeisen. Ein Patch stand zum Redaktionsschluss noch nicht zur Verfügung.
Quelle: TEC Channel
(vr) – Über eine Schwachstelle in Camera Life, einem PHP-basierten Fotoalbum, können Angreifer beliebigen SQL-Code in die Datenbank einspeisen.
Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 2.6 auf. Andere Versionen von Camera Life sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „id“ in der Datei „sitemap.xml.php“. Durch gezielte Manipulation solcher Eingaben können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen. Ein Patch ist bisher nicht bekannt.
Quelle: TEC Channel
(jp) - Heiko Zuerker hat die Verfügbarkeit einer neuen Version von Devil-Linux veröffentlicht.
Die Entwickler haben hauptsächlich Fehlerkorrekturen vorgenommen. ImageMagick kann in dieser Variante Dateitypen wieder korrekt identifizieren. Ebenso wurden fehlende LSI-SCSI-Treiber hinzugefügt. Iptables erfuhr ein Downgrade auf Version 1.3.7. Dieser Schritt ist auf fehlende Erweiterungen zurückzuführen. Weiter soll sich die Kompatibilität von strongswan für Windows- und Cisco-Clients verbessert haben. Viele Programme wurden einem Update unterzogen. Hierzu gehören Samba, Clamav, Bind, SpamAssassin, OpenSSH und OpenLDAP.
Weitere Informationen finden Sie im offiziellen Changelog. Herunterladen können Sie die Firewall- und Server-Distribution von einem der Spiegel-Server. Dokumentationsmaterial finden Sie in der Support-Abteilung der Projektseite.
Quelle: TEC Channel
(vr) – Aktuell werden wieder gefälschte Rechnungen verschickt, die im Anhang einen Trojaner mitführen. Die E-Mails sind auf Deutsch geschrieben und tarnen sich als PayPal-Rechnung.
Trend Micro meldet aktuell wieder gefälschte „Rechnung“-E-Mails. Diese enthalten einen Text, nachdem ein bestimmter Auftrag erfüllt wurde und ein relativ hoher Betrag von 6336,09 Euro demnächst vom PayPal-Konto des Nutzers abgebucht wird. Näheres sei im Anhang zu finden.
Der Anhang enthält statt der Erklärung allerdings den Wurm Otorun.C. Die Spam-Mail ähnelt der 1 & 1-Attacke im letzten Jahr und bedient sich des Social Engineerings, um seine Opfer zu infizieren. Erhält ein User so eine E-Mail, ist er zunächst über die hohe Summe geschockt, anschließend will er wahrscheinlich herausfinden, wofür er das Geld angeblich ausgegeben habe. Zusätzlich ist es wahrscheinlich, dass er eine solche Mail manuell aus dem Anti-Spam-Filter herausholt, eben um an die Rechnung und damit an den Wurm zu kommen. Eine Besonderheit von Otorun.C ist, dass sich der Wurm auch über USB-Medien fortpflanzt.
Um Ihr Netz zu schützen, sollte daher Ihr Antivirus-Programm auf dem aktuellsten Stand sein. Zudem schadet es nicht, Ihre Nutzer regelmäßig zu sensibilisieren.
Quelle: TEC Channel
(am) – Real Networks hat neue Versionen seines Real Players für Windows, Mac OS und Linux zum Downlaod bereitgestellt, da sich in den alten Versionen einige Sicherheitslücken fanden.
Unter Windows bringt der Real Player zwei fehlerhafte ActiveX-Controls mit, die Speicherfehler verursachen können. Das Problem ist bereits seit März bekannt und wurde schon ausgenutzt, um beim Abspielen von Musik auf Websites Code einzuschmuggeln. Darüber hinaus gibt es im Real Player ein Problem beim Zugriff auf lokale Ressourcen und beim Verarbeiten von SWF-Dateien.
Unter Windows sind der Real Player 10, Real Player Enterprise sowie einige Builds des Real Players 10.5 und 11 betroffen. Unter Linux und Mac OS nur die 10er-Versionen, nicht jedoch die 11er. Details liefert Real Networks auf seiner Website.
Quelle: PC Professionell
