Software::Security
Sicherheitslücken in Xemacs, Mailman, dump und Netscape
In den letzten Tagen wurden Sicherheitslücken in mehreren Programmen bekannt.
Eine Sicherheitslücke wurde in Xemacs bis Version 21.1.9 gefunden, die es Benutzern erlaubt, die Tastatureingaben anderer Benutzer mitzulesen. Zumindest von Mandrake und Caldera gibt es bereits Updates.
Der "Secure Web Server" von Red Hat hat eine Sicherheitslücke im Programm mailman. Updates sind erhältlich.
Mandrake meldet eine Sicherheitslücke in dump 0.4b16, die durch die beliebte Kombination von Pufferüberlauf und gesetztem gid-Bit verursacht wird. Ein Update ist erhältlich. Andere Distributionen können auch betroffen sein, zumindest wenn sie dump mit gesetztem gid-Bit installieren.
Schließlich meldet CERT eine Sicherheitslücke in Netscape Navigator bis einschließlich Version 4.73. Ein Angreifer, der eine Webseite entsprechend konstruiert und das DNS-System manipuliert, kann eine gesicherte SSL-Verbindung übernehmen. Abhilfe schafft das genaue Prüfen von Zertifikaten, die von fremden Servern kommen. Das Problem entsteht zum Teil auch durch die Unsicherheit von DNS. Diesem versucht man aber mit dem neuen Protokoll DNSsec, das in BIND 9.0 (derzeit im Betatest) implementiert ist, abzuhelfen.
