Die Entwickler des Python-basierten Wiki-System MoinMoin haben zwei Cross-site scripting (XSS) - Schwachstellen behoben, durch die Angreifer JavaScript-Code im Browers eines Opfers ausführen können. Ebenfalls wurde in Version 1.5.x eine Directory-Traversal-Lücke geschlossen, durch die mittels manipulierter Cookies Systemdaten überschrieben werden können. Eine genaue Beschreibung der Fehler und die Patches gibt es hier. Außerdem ist die aktualisierte Version 1.6.1 verfügbar.

Die aktuelle Version der quelloffenen Perl-Compatible-Regular-Expressions-Bibliothek (PCRE) enthält eine Schwachstelle, durch die Angreifer Schadcode einschleusen können. Die Ursache sollen Codepoints mit größeren Werten als 255 sein, die zu Pufferüberläufen führen können. Ein Codepoint ist ein bestimmter Wert in einem Zahlenraum, der durch Integer-Zahlen repräsentiert wird. Der Fehler betrifft alle Versionen vor Fassung 7.6. Die PCRE-Bibliothek wird von mehreren OpenSource-Projekten wie Apache, PHP, Postfix, KDE und Exim genutzt. Mandrake bietet bereits aktualisierte Pakete an. Die anderen Distributoren dürften bald folgen.

Von Debian 4.0, genannt “Etch” ist die dritte Revision erschienen. Version 4.0r3 enthält die bisherigen Sicherheitsupdates und behebt eine ganze Reihe weiterer Fehler. Allerdings sollten Systeme die regelmäßig über security.debian.org aktualisert werden, bereits auf dem neuesten Stand sein. Da Etch sich nach der Installation, über die Paketverwaltung ATP updaten läßt, können vorhandene CD-Sätze weiterhin verwendet werden. Neben den üblichen Patches bietet Version 4.0r3 zusätzliche Unterstützung für SGIs O2-Maschinen mit Nevada-Prozessoren und Stabilitätsverbesserungen. Alle Änderungen gibt es hier. Neue CD-Sätze enthält das Stable-Verzeichnis des FTP-Servers.

Im quelloffenen Betriebssystem FreeBSD sind zwei kritische Sicherheitslücken aufgetaucht. So können Angreifer in Version 5.5 das System zum Absturz bringen, indem sie präparierte IPv6-Paketen in den (dem KAME-Projekt entnommenen) Netzwerkstack für das IPv6- und IPsec-Protokoll einschleusen. Durch eine zweite Lücke können lokale Anwender auf Dateninhalte zugreifen, auf die sie nur Schreib- aber keine Leserechte besitzen. Ursache dieses Problems ist die fehlerhafte Überprüfung der Zugriffsrechte durch die Systemfunktion sendfile in den Version 5 bis 7.0. Zur Beseitigung der Fehler haben die Entwickler bereits entsprechende Patches bereit gestellt, die von den Administratoren auf dem üblichen Weg eingespielt werden können. Für FreeBSD wird dies dringend empfohlen.

Von ClamAV ist Version 0.92.1 erschienen, die einige Schwachstellen behebt, durch die Angreifer Schadcode einschleusen können, z.B. mit präparierten Dateianhängen in Emails. Die Programmierer berichten auf Souceforge, dass sie einen potentiellen Ganzzahl-Überlauf bei der Verarbeitung von ausführbaren Dateien im PE-Format ausgebessert haben, durch den Schadcode zur Ausführung gelangen kann. Ein anderer Fehler kann einen Pufferüberlauf auf dem Heap verursachen. In den Release-Notes gibt es keinen Hinweis, dass auch die Anfang Januar entdeckten Sicherheitslücken im Virenscanner beseitigt worden sind, durch die lokale Anwender ihre Rechte ausweiten können. Auch bietet das Update keinen Dekodierer für Dateien in der Kodierung Base64-UUEncode. Ein weiterer Fehler in Sigtool, der eine Symlink-Attacke zum Überschreiben einiger Dateien ermöglicht, wird ebensowenig behoben. Die Probleme werden jedoch als weniger kritisch betrachtet. Anwender sollten ClamAV so schnell wie möglich aktualisieren. Entsprechende Pakete der Linux-Distributoren dürften in Kürze folgen, (via heise.de).

Von den Mozilla-Produkten Firefox, SeaMonkey und Camino sind neue Versionen erschienen, die mehrere z.T. kritische Sicherheitslücken schließen. So korrigieren die aktualisierten Versionen von Firefox und SeaMonkey einige Schwachstellen der JavaScript-Funktionen, durch die Angreifer Schadcode ausführen können. Die Lecks betreffen z.T. auch Thunderbird und sollen dort mit Version 2.0.12 geschlossen werden, für die es jedoch noch keinen Veröffentlichungstermin gibt. Bis dahin sollten Anwender JavaSkript im Email-Client deaktivieren. Camino weist die gleichen Sicherheitslücken wie Firefox auf, da sich beide Browser die Rendering Engine Gecko teilen. Eine detaillierte Übersicht der Korrekturen beim Mac-Browser gibt es für Version 1.5.5 jedoch nicht. Firefox 2.0.0.12 und die Browser-Suite SeaMonkey 1.1.8 gibt es zum Download für Windows, Linux und MacOS X. Ersterer ist zudem über die Update-Funktion erhältlich.

In der Multiuser-Version von WordPress ist eine Schwachstelle aufgetaucht. Angreifer können eigene PHP-Skripte auf den Server laden und diesen übernehmen, wenn sie auf die Funktionen manage_options und upload_files zugreifen können. Hier gibt es einen Exploit. Der Fehler betrifft WordPress MU in Version 1.3.1 und ist ab 1.3.2 behoben. Anwender, die noch niicht aktualisiert haben, sollten gleich zu Version 1.3.3 wechseln. Diese bietet die gleichen Funktionen wie WordPress 2.3.3.

Die Entwickler des Content-Management-Systems (CMS) Joomla haben zwei Wochen nach Veröffentlichung von Version 1.5 bereits eine Schwachstelle entdeckt, Ist das Plug-in für die XML-RPC-Blogger-API aktiviert, können Angreifer Nutzerbeiträge manipulieren und löschen, indem sie manipulierte HTTP-Request an den Server übermitteln. Da Sicherheitsprobleme mit XML-RPC oft noch andere Blogs, Wikis und CMS betreffen, dürften bald weitere Sicherheitswarnungen folgen. Bis ein Update verfügbar ist, sollte das verantwortliche Plug-In deaktiviert werden. Im Subversion-Repository soll das Problem bereits behoben sein.

Das Content-Management-System (CMS) Drupal enthält zwei Schwachstellen im Modul Project Issue Tracking, die Angriffe aus dem Netz ermöglichen. Beim Anlegen eines neuen Issues, können Daten hochgeladen werden. Da der Dateityp aber nur unzureichend geprüft wird, kann Benutzern JavaScript untergeschoben und in deren Browsern ausgeführt werden. Details zu dem Problem enthält der Fehlerbericht. Außerdem gibt es eine Cross-Site-Scripting-Lücke in der Darstellung der Zusammenfassung von Issue-States. Um diese auszunutzen, sind allerdings, nicht näher beschriebene Editor-Rechte notwendig. Die Sicherheitslecks betreffen mehrere Versionen und können durch Update auf 5.x-2.0, 5.x-1.3, 4.7.x-2.7 oder 4.7.x-1.7 geschlossen werden. Die nötigen Konfigurationsänderungen werden in den Original-Fehlerberichten beschrieben. Mitte Januar waren bereits mehrere Schwachstellen in Drupal und dem Zusatzmodul Metatags beseitigt worden.

Im Content-Management-System Mambo 4.6.3 sind vier Sicherheitslücken entdeckt worden, durch die Angreifer Daten ausspähen und Schadcode einschleusen können. Erst Ende letzten Jahres waren ebenfalls vier kritische Schwachstellen in dem PHP und MySQL basierten CMS geschlossen worden. Neu aufgetaucht ist z.B. eine Cross-Site-Request-Forgery-Lücke (CSRF), durch die ein Angreifer ein Admin-Konto einrichten kann, wenn ein eingeloggter Administrator eine manipulierte Webseite öffnet. Den Bugreport mit allen Details gibt es hier. Möglicherweise sind auch ältere Versionen von Mambo betroffen. Ein Update gibt es bisher noch nicht.