Eine in phpMyAdmin 2.11.9.2 entdeckte Sicherheitslücke wurde mit dem heutigen Update auf phpMyAdmin 2.11.9.3 beseitigt.

Die Schwachstelle entstand durch die mangelhafte Bereinigung von Eingaben, die an den Parameter „db“ in der Datei „pmd_pdf.php“ übergeben wurden. Durch gezielte Manipulation dieser Eingaben konnten Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer phpMyAdmin-Benutzer einspeisen.


Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory

Adobe hat eine aktualisierte Version seines Flash Players
veröffentlicht.

Über Schwachstellen war es Angreifern moeglich, Schadsoftware auf fremde Rechner zu spielen. Dazu genügt der Besuch einer manipulierten Webseite über einen Browser mit installiertem Flash Player Plug-In.

Empfehlung:

Den Anwendern wird empfohlen den Player umgehend auf
Version 10.0.12.36 zu aktualisieren. Diese steht auf der Adobe-Webseite
unter http://www.adobe.com/shockwave/download/...kwaveFlash zum Download bereit.

Angreifer versenden seit gestern Abend massiv E-Mails mit den Betreffzeilen "Ratenzahlung", "Lastschrift", "Amtsgericht" bzw. "Auflistung der Kosten" im Namen der Inkassogesellschaft TESCHINKASSO Forderungsmanagment GmbH, des Energieversorgers Vattenfall Europe AG und weiteren gefälschten Absendern.

Der Dateianhang Rechnung.Zip enthaelt u.a. eine als SSL-Zertifikat getarnte ausfuehrbare Datei, die als Download-Trojaner weitere Schadsoftware auf dem Rechner des Benutzers installiert.

Des weiteren versenden Angreifer zur Zeit E-Mails mit dem Betreff "Srayfriends Anmeldung ID ...". Auch hier ist eine Datei mit dem Namen Rechnung.zip beigefuegt, die Schadsoftware enthaelt.

In beiden Faellen versuchen die Angreifer durch Angabe von Geldbetraegen, die angeblich vom Konto des Empfaengers der Mail abgebucht worden sind, den Empfaenger der E-Mail zu verunsichern und ihn zum Oeffnen des Anhangs zu verleiten.

Empfehlung:

Löschen Sie derartige E-Mails umgehend und öffnen Sie keinesfalls den Dateianhang.

Die Version phpMyAdmin 2.11.9.2 bringt einige Fehlerkorrekturen mit sich.

Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory

Hinweis:

Auf unseren Serversystemen ist aus Sicherheitsgründen grundsätzlich
shell_exec disable, so dass o.g. Sicherheitslücke nicht zum tragen kam.

Ueber Schwachstellen in WordPress ist es Angreifern unter
Umstaenden moeglich, Passwoerter von Nutzern zu manipulieren und
anschliessend auszuspionieren.

Betroffen sind die WordPress Versionen 2.6.1 und älter.

Empfehlung:
.
Nutzern vor WordPress wird geraten umgehend die aktualisierte Version 2.6.2 zu installieren. Sie steht in deutscher Sprache auf der
WordPress-Webseite zum Download bereit.

Die Version phpMyAdmin 2.11.9.1 bringt nicht nur einige Fehlerkorrekturen mit, sondern schließt auch eine potenziell gefährliche Sicherheitslücke, durch die Angreifer unter bestimmten Voraussetzungen Shell-Befehle auf dem Server ausführen konnten.

Ein Anwender, der sich bei phpMyAdmin angemeldet hat, konnte die Schwachstelle dafür ausnutzen, um seinen Shell-Code auf dem Webserver auszuführen. Das war aber nur möglich, wenn PHP so konfiguriert war, dass es den exec-Befehl erlaubt.


Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory

Hinweis:

Auf unseren Serversystemen ist aus Sicherheitsgründen grundsätzlich
shell_exec disable, so dass o.g. Sicherheitslücke nicht zum tragen kam.

Sehr geehrte Kunden,

der auf asynchrone Datenübertragung (Ajax) basierende Webmailer "Roundcube" wurde heute auf die aktuelle Stable-Version 0.1.1 gebracht.

Gegenüber den Vorgängerversionen wurden zahlreiche Bugs behoben.

Sehr geehrte Damen und Herren, sehr geehrte ok-webhosting Kunden,

über eine Sicherheitslücke in CMS Joomla können Angreifer bestehende Sicherheitsvorkehrungen umgehen und Daten manipulieren.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in allen 1.5.x-Versionen vor Version 1.5.6 auf.

Die Sicherheitslücke entsteht aufgrund fehlerhafter Zugriffseinschränkungen in der Datei „components/com_user/models/reset.php“.

Angreifer können diesen Fehler missbrauchen, um das Kennwort des Benutzers mit der niedrigsten Benutzer-ID (üblicherweise der Administrator) zu ändern.

Offensichtlich sind auch schon zahlreiche Exploits im Umlauf die diese Schwachstelle ausnutzen!

Empfehlung:

Allen Nutzern von Joomla wird dringend !!! ein Update auf die fehlerbereinigte Joomla-Version 1.5.7 empfohlen, in der unter anderem die o.g. Sicherheitslücke geschlossen wurde.

Nützlicher Download-Link: http://www.joomlaos.de/option,com_remosi...d,347.html

Sehr geehrte Damen und Herren, sehr geehrte ok-webhosting Kunden,

in phpMyAdmin wurden mit dem Bugfixrelease Version 2.11.9 erneut Fehler beseitigt.

Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory

Sehr geehrte Damen und Herren, sehr geehrte ok-webhosting Kunden,

in phpMyAdmin wurden mit dem Bugfixrelease Version 2.11.8.1 erneut zahlreiche Fehler beseitigt.

Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory