Das PHP-Projekt hat ein Update für PHP 5.3 veröffentlicht. Version 5.3.2 der Skriptsprache behebt mehr als 60 Fehler u.a. bei der Sessionbehandlung und der Hashfunktion. Zudem haben die Entwickler einige Sicherheitslücken beseitigt. Details zu den Änderungen enthält das Changelog. PHP 5.3.2 steht ab sofort zum Download bereit. Bereits Ende Februar haben die PHP-Entwickler mit Version 5.2.13 fast 40 Fehler und mehrere Sicherheitslücken in der 5.2er Serie beseitigt.

Obwohl das Update auf Thunderbird 3.0.2 zur Fehlerbereinigung veröffentlicht wurde, ist es selbst nicht fehlerfrei: E-Mail-Verzeichnisse können verloren gehen oder sogar sämtliche Einträge der Ordnerübersicht.

Die neue Version  Thunderbird 3.0.3 soll den Fehler beheben und steht kostenlos für  Windows, Linux und Mac OS zum Download bereit.

Für Firefox 3.0 und 3.5 haben die Mozilla-Entwickler Updates bereitgestellt, mit denen fünf Schwachstellen beseitigt werden. Drei Sicherheitslücken sind besonders kritisch, da potentielle Angreifer möglicherweise die Kontrolle über den Rechner erlangen können. Die beiden anderen Schwachstellen erlauben Cross-Site-Scripting (XSS). Firefox 3.0.18 und Firefox 3.5.8 beseitigen die Lücken und verbessern zudem die Stabilität. In Firefox 3.6 sind die Sicherheitslücken bereits gehoben. Auch SeaMonkey und Thunderbird sind von den Schwachstellen betroffen. Version 2.0.3 beseitigt die Probleme bei SeyMonkey. Für Thunderbird soll Version 3.0.2 die Schwachstellen beheben, ist aber bislang noch nicht als Download verfügbar.

Die Entwickler haben die Version 5.0.2 von NetBSD freigegeben, die Reparaturen (kumulative Patches) für kritische Sicherheitslücken mitbringt, wie z.B. für den jüngsten Fehler im SSL/TLS-Protokoll.

Andere Reparaturen betreffen die Netzwerkprotokolle, wie z.B. SSL/TLS, den BIND-Server sowie den Kernel, der bislang bei der Verwendung von Quotas abstürzen konnte. Geändert wurden auch das IPv6-Protokoll, IPsec und DHCP, das auf Version 4.0.14 aktualisiert wurde.

Aber: Zwei Fehler wurden nicht behoben. In gbd kann ein Prozess fehlschlagen, der im “singled stepped”-Modus einem Debugging-Verfahren unterzogen wird. Zweitens ist gdb aktuell nicht auf Threaded-Programme anwendbar. Zusätzlich funktionieren mit Pthreads statisch gelinkte Binärdateien nicht.

Die neue Version NetBSD 5.0.2 steht für unterschiedliche Architekturen auf den Mirrors der Projektseite zum Download bereit.

Ein kürzlich aufgetauchtes Schadprogramm, das in einem Theme und einem Bildschirmschoner für den Gnome-Desktop versteckt war, hat eine Debatte über die Sicherheit von Fremdpaketen als Schleuse für schadhafte Codes unter Linux ausgelöst.
Der Amarok-Entwickler und Programmierer Mark Kretschmann plädiert in seinem Blog für pflichtgemäße Versionskontrollen (VCS) und stellt einen Lösungsvorschlag zur Diskussion, wie in Zukunft Softwarepakete auf Schadprogramme überprüft werden könnten: Software von Drittanbietern solle auf einem öffentlichen Server mit VCS abgelegt werden.

Laut Kretschmann sei Software unter Linux ebenso wie KDE-Programme reell von eingeschleuster Malware bedroht. Das Problem: Eine Kontrolle durch Projektmitglieder würde aus personal- und verantwortungstechnischen Gründen nicht funktionieren, so Kretschmann. Kretschmann argumentiert, dass eine Versionskontrolle schnell anzeigen würde, von wem und wann schadhafter Code in ein Paket geschleust worden sei. In Konsequenz könnten Schäden schneller behoben und Verursacher von einem erneuten Zugriff auf den VCS-Server ausgeschlossen werden. Dies fördere die Qualität eingereichter Software.

Zum aktuellen Stand: Theme-Erweiterungen und ähnliche Software liegen auf Servern als gepackte Tar.gz-Archive vor, die grundsätzlich von jedem Benutzer mit Userrechten in seinem eigenen Home-Verzeichnis entpackt werden können. Mit einem Blick in die Verzeichnisstruktur innerhalb eines Archivs können zumindest ansatzweise Verdachtselemente festgestellt werden, da Themes oder Bildschirmschoner keine Dateien in den Verzeichnissen /bin, /sbin, /usr/bin oder /usr/sbin ablegen sollten.

Mit dem Sicherheitsupdate 3.0.195.32 schließt Google zwei Sicherheitslücken in seinem Browser Chrome. In der Liste der gefährlichen Dateitypen bei denen Anwender vor einem Download gewarnt werden, fehlten bislang die Endungen SVG, MHT und XML. So konnten Webseiten möglicherweise eine MHTML-Datei einschleusen. Zudem wurde mit dem Update eine Schwachstelle in der Gears SQL API behoben, durch die Webseiten einen Speicherfehler verursachen können.

Mozilla hat Updates für Firefox 3 und 3.5 veröffentlicht. DieVersionen 3.0.15 sowie 3.5.4 beseitigen zehn als gefährlich eingestufte Sicherheitslücken, über die Angreifer Schadcode einschleusen können. Firefox 3.5.4 behebt zudem einen Fehler in der Web-Workers-Komponente, durch die mit manipulierten Javascript-Befehlen der Browser zum Absturz gebracht oder Schadcode eingeschleust werden kann. In Seamonkey 2.0 sind die Sicherheitslücken wahrscheinlich bereits behoben. Firefox 3.0.15 und Firefox 3.5.4 gibt es kostenlos für Windows, Linux und MacOS als Download oder über die Updatefunktion.

Die Entwickler der Programmiersprache Python haben ein Bugfix-Release veröffentlicht. Version 2.6.4 behebt Fehler im Logging-Paket und dem Installer Setuptools. Neue Funktionen sind für die 2.6er Entwicklungsschiene nicht mehr vorgesehen. Das aktuelle Python 3.1.1 ist allerdings nicht zu Python 2.6x kompatibel.

Das KDE-Projekt hat mit KDE 4.3.2 ein neues Bugfix-Release seines freien Desktops veröffentlicht. Neben einer größeren Leistung bietet das Update vor allem Fehlerkorrekturen, auch in den Kernbibliotheken. Dadurch sollen das Desktopsystem und die zugehörenden Applikationen stabiler laufen. Die meisten Fehler wurden allerdings im E-Mail-Client KMail beseitigt. Im Window-Manager KWin wurden die Compositing-Effekte verbessert. KDE 4.3.2 steht für diverse Linux- und Unix-Systeme zum Download bereit.

Mit Version 2.2.14 haben die Entwickler des Apache HTTP Server ein Sicherheits- und Bugfix-Release veröffentlicht. Neu ist  die APR-Bibliothek (Apache Portable Runtime) in Version 1.3.9, die bei den Prefork- und Event MPMs (Multi-Processing Modules) in Verbindung mit Solaris 10 mehr Sicherheit bietet.