In der quelloffenen Datenbank Firebird gibt es eine Schwachstelle, durch die Schadcode eingeschleust werden kann. Ursache des Problems ist laut Core Security die fehlerhafte Implementierung des eingesetzten XDR-Protokolls (External Data Representation). Da dessen Parser Daten ohne vorherige Überprüfung übernimmt. Wird bei der Anmeldung aus dem Netz ein zu langer Benutzername verwendet, kann dies bereits zu Pufferüberläufen führen. Zudem ermöglicht die Sicherheitslücke Denial-of-Service-Angriffe, da der Empfang manipulierter Daten den Server zum Absturz bringen kann. Von der Schwachstelle sind die Entwicklungszweige der Fassungen 1.0.3, 1.5.5 und 2.0.3 betroffen. Das Update 2.0.4 soll im Februar erscheinen, 1.5.6 im weiteren Verlauf des Jahres. Version 1.0.3 wird nicht mehr aktualisiert. Beim neu veröffentlichten Firebird 2.1 RC 1 haben die Entwickler die Sicherheitslücke geschlossen. Alle Änderungen enthält das Changelog. Administratoren sollten bis zur Verfügbarkeit der Updates, den Zugang zur Datenbank auf vertrauenswürdige Rechner beschränken.

Von der freien Medienbibliothek xine-lib gibt es Updates, die einige Sicherheitslücken schließen. Version 1.1.9.1 beseitigt eine vor kurzem entdeckte Schwachstelle beim Streaming mit dem Realtime-Streaming-Protokoll (RTSP), durch die Angreifer, mit manipulierten Datenströmen oder MPEG-Dateien, Schadcode einschleusen konnten. Auch mit Version 1.1.10 wird ein Problem beim Verarbeiten präparierter MPEG-Dateien behoben, durch das fremder Code ausgeführt werden könnte. Dieser Fehler aus Version 1.1.1 hat sich im Lauf der Weiterentwicklung wieder eingeschlichen. Alle Verbesserungen enthalten die Changelogs der Updates 1.1.10 und 1.1.9.1. Aktualisierte Pakete für die einzelnen Linux-Distributionen werden sicher bald erscheinen, Qellcode-Pakete gibt es bereits.

Im Content-Management-System PHP-Nuke gibt es eine SQL-Injection-Schwachstelle, durch die ein Zugriff auf die zugrunde liegende Datenbank möglich ist. Auf Milw0rm ist ein Exploit erschienen, der den Fehler im Skript modules.php lokalisiert. Dieses gibt den Parameter sid ungefiltert an das Skript modules/Search/index.php weiter. Ist der Parameter manipuliert, lassen sich eigene SQL-Querys an die Datenbank absetzen und z.B. die Passwort-Hashes auslesen. Der Exploit betrifft bisher die Versionen PHP-Nuke 6.0, 6.6, 7.9 und 8.0. Ob auch die aktuelle Version 8.1 betroffen ist, ist noch unklar. Die Lücke läßt sich schließen, indem die Option magic_quotes_gpc aktiviert wird.

Im Webbrowser Firefox ist eine sogenannte Directory-Traversal-Schwachstelle aufgetaucht, durch die Angreifer über manipulierte Webseiten den Rechner ausspähen können. Im Blog “Hiredhacker.com” wird demonstriert, wie durch das Leck z.B. ein Zugriff auf die gespeicherten Einstellungen des Mailprogramms Thunderbird möglich ist. Allerdings muss für einen solchen Angriff in Firefox eine Erweiterung installiert sein, die nicht als .jar-Archiv verpackt ist. Beispiele für entsprechende Add-Ons sind Greasemonkey und Download Statusbar. Von letzterem gibt es bereits ein aktualisiertes Paket, das nicht als .jar verpackt ist. Laut Bugzilla soll der Fehler in der Render-Engine Version 1.8.1.12 beseitigt werden, wann diese erscheint, ist aber noch nicht bekannt.

Im X-Server von X.org gibt es mehrere Schwachstellen, die der Sicherheitsdienstleister iDefense veröffentlicht hat. Durch die Sicherheitslücken können lokale Anwender ihre Rechte im System ausweiten oder vertrauliche Informationen anderer Nutzer ausspähen. In Version 1.4.1 des X-Servers haben die Entwickler den Fehler behoben und für die 1.2er- und 1.4er-Versionen gibt es Patches. Auch einige Linux-Distributoren bieten bereits bereits aktualisierte Pakete an.

In Apache gibt es mehrere Cross-Site-Scripting-Schwachstellen, durch die unbemerkt JavaScript im Browser von Anwendern ausgeführt werden kann. So können Angreifer an sensible Daten gelangen, um z.B. Benutzerkonten zu übernehmen. Ursache der Sicherheitslücken des Webservers ist eine nur unzureichende Filterung übergebener Parameter und aufgerufener URLs. Die fehlerhaften Module finden sich in Apache 1.3.x, 2.0.x und 2.2.x. Eine Lücke in mod_status ermöglicht z. B. Redirects auf Pishing-Seiten, da sich durch Einfügen eines Semikolons eine zusätzliche URL einschleusen läßt. In den Versionen Apache 2.2.7-dev, Apache 1.3.40-dev und Apache 2.0.62-dev sind die Probleme behoben. Auch einige Linux-Distributoren wie Red Hat und Mandriva bieten bereits Modulversionen an, in denen die Fehler ausgebessert wurden.

Nach der Sicherheitslücke in der Medienbibliothek xine-lib hat Luigi Auriemma nun auch Details über ähnliche Schwachstellen im VLC Mediaplayer und in Apples QuickTime veröffentlicht. VLC verwendet Programmcodes des Xine-Projekts. Hier wie dort kann beim Dekodieren von RTSP-Strömen, aufgrund fehlender Längenprüfungen ein Pufferüberlauf auf dem Heap auftreten und so Schadcode eingeschleust werden. In QuickTime kann es bei der Anzeige von HTTP-Fehlermeldungen zu einem Pufferüberlauf kommen. Stellt ein Angreifer einen Link auf einen RTSP-Server bereit, ohne dass ein Server auf dem Netzwerk-Port 554 zuhört, versucht der Player auf den HTTP-Port 80 zuzugreifen. Dadurch kann der Serverbetreiber mit manipulierten Ausgaben von Fehlermeldungen (z.B.:404 - Page not found) den Pufferüberlauf in der Display-Routine des Programms auslösen. Der Fehler soll sich unter Windows provozieren lassen, konnte aber unter Mac OS X bislang nicht nachgewiesen werden. Noch gibt es keine Updates für die betroffenen Player (VCL in Version 0.8.6d und QickTime 7.3.1.70).

Die am Sonntag veröffentlichte Version 1.1.9 der freien Medienbibliothek xine-lib enthält eine Schwachstelle im Realtime-Streaming-Protokoll (RTSP), wie Luigi Auriemma meldet. Die Funktion rmff_dump_header() in der Datei input/libreal/rmff.c berücksichtigt beim Streamen nicht die Headerlänge, so dass ein Puffer auf dem Heap überlaufen kann. Dadurch kann eingeschleuster Schadcode zur Ausführung kommen. Auch die auf xine-lib basierenden Media-Player, z.B. totem oder kaffeine sind von dem Fehler betroffen. Das mplayer-Projekt nutzt ebenfalls die betroffene Datei, deren Entwickler haben jedoch Längenprüfungen eingebaut. Bis ein Update der Software erscheint, sollten Anwender der Medienbibliothek keine RTSP-Datenströme öffnen.

Die Entwickler des CMS Drupal weisen in ihrem neuen Fehlerbericht auf eine mögliche SQL-Injection-Schwachstelle hin. Die Funktion taxonomy_select_nodes fügt Variablen in SQL-Queries ungeprüft ein. Eigene Befehle können mit präparierten Variableninhalten an die Datenbank übergeben werden. Dies könnten Angreifer nutzen, um geschützte Inhalte aus der Datenbank auslesen oder sogar Inhalte zu manipulieren. Zwar prüft und filtert das Taxonomy-Modul die Parameter vor Weitergabe an die Funktion, dies geschieht jedoch bei Modulen anderer Hersteller möglicherweise nicht, z.B.: taxonomy_menu, ajaxLoader und ubrowser. Betroffen sind die Drupal-Versionen vor 4.7.9 und vor 5.4. Ein Update auf 4.7.9 und 5.4 sollte das Problem beheben. Allerdings schlich sich dort ein zwar nicht sicherheitsrelevanter aber kritischer Fehler ein. Die Entwickler stellen daher bereits die Versionen 4.7.10 und 5.5 zum Download bereit. Alternativ werden Patches angeboten.

Mit dem Update auf die Version 2.0.0.10 sollen drei als wichtig eingestufte Sicherheitslecks geschlossen und die Stabilität von Firefox verbessert werden. Es gibt keine neuen Funktionen. Die beseitigten Fehler ließen den Browser abstürzen oder hätten zur Ausführung von Schadcode missbraucht werden können. Hier geht es zum Download für Windows, Linux und MacOS X.

Achtung: Scheinbar enthält aber die Version 2.0.0.10 einen neuen Fehler, der bislang nicht behoben werden konnte: Der neue Fehler führt dazu, dass sich bestimmte Grafikdateien mit Firefox 2.0.0.10 nicht mehr anzeigen lassen, meldete golem.de.