UCS 2.2 Sicherheitsupdate 3

german
announcement

#1

Hinweise zur Installation des Security-Updates

[ul]
[li] Das Einspielen von Security-Updates ist im aktuellen Handbuch (2.2) im Abschnitt 10.2 dokumentiert.

Die betroffenen Pakete in der Übersicht

Adobe Acrobat Reader (CVE-2009-0198, CVE-2009-0509, CVE-2009-0510, CVE-2009-0511, CVE-2009-0512, CVE-2009-0888, CVE-2009-0889, CVE-2009-1855, CVE-2009-1856, CVE-2009-1857, CVE-2009-1858, CVE-2009-1859, CVE-2009-1861)

Zahlreiche Sicherheitslücken wurden im PDF-Viewer Adobe Acrobat Reader gefunden, die u.a. zum Ausführen von Schadcode führen können.

Dieses Update aktualisiert Acrobat Reader auf Version 8.1.6 und behebt alle diese Sicherheitslücken.

DHCP (CVE-2009-0692, CVE-2009-1892)

Zwei Sicherheitslücken wurden im ISC-DHCP-Server gefunden, die zum Ausführen von Schadcode oder Denial of Service führen können:

[list]
[*] Ein Bufferoverflow im Einlesen von Subnet-Masken kann zum Ausführen von Schadcode führen. (CVE-2009-0692)
[/li]
[li] Werden in einer DHCP-Konfiguration Host-Definitionen mit \emph{dhcp-client-identifier} und \emph{hardware ethernet} verwendet, kann durch DHCP-Anfragen der Server zum Crash gebracht werden. (CVE-2009-1892)[/li][/ul]

Dieses Update beseitigt alle diese Sicherheitslücken.

Firefox (CVE-2009-1194, CVE-2009-2462, CVE-2009-2463, CVE-2009-2464, CVE-2009-2465, CVE-2009-2466, CVE-2009-2467, CVE-2009-2469, CVE-2009-2471, CVE-2009-2472, CVE-2009-2654,
CVE-2009-2404, CVE-2009-2408)

Firefox wurde auf Version 3.0.13 aktualisiert, was die folgenden Sicherheitslücken beseitigt:

[ul]
[li] In der integrierten Pango-Kopie wurde ein Integeroverflow entdeckt, der zum Ausführen von Schadcode führen kann (CVE-2009-1194)[/li]
[li] Crashes in der Layout- und Javascript-Engine können zum Ausführen von Schadcode führen (CVE-2009-2462, CVE-2009-2463, CVE-2009-2464, CVE-2009-2465, CVE-2009-2466)[/li]
[li] Ein Fehler in der Interaktion mit Flash-Inhalten kann zum Ausführen von Schadcode führen (CVE-2009-2467)[/li]
[li] Ein Crash in der SVG-Anzeige kann zum Ausführen von Schadcode führen (CVE-2009-2469)[/li]
[li] Der XPCNativeWrapper konnte ausgehebelt werden (CVE-2009-2471) [/li][li] Domänen-Zugriffsprüfungen für Javascript-Code konnten umgangen werden (CVE-2009-2472)[/li]
[li] Unsichere Behandlung von neuen Fenstern erlaubt Spoofing-Attacken (CVE-2009-2654)[/li]
[li] Ein Heapoverflow im Parser für Zertifikatsnamen erlaubt das Ausführen von Schadcode (CVE-2009-2404)[/li]
[li] Nullzeichen in SSL-Zertifikaten können für Man in the Middle Attacken missbraucht werden (CVE-2009-2408)[/li][/ul]

Flash-Plugin (CVE-2009-1862, CVE-2009-0901, CVE-2009-2495, CVE-2009-2493, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870)

Mehrere Sicherheitslücken im Flashplugin können zum Ausführen von Schadcode führen, der u.a. durch Webseiten mit Flash-Animationen ausgelöst werden kann.

Dieses Update löst einen erneuten Download durch den Flash Plugin-Installer aus und aktualisiert das Flash-Plugin dabei auf Version 9.0.246, die alle diese Sicherheitslücken beseitigt.

Sun Java (CVE-2009-0217, CVE-2009-2475, CVE-2009-2476, CVE-2009-2625, CVE-2009-2670, CVE-2009-2671, CVE-2009-2672, CVE-2009-2673, CVE-2009-2674, CVE-2009-2675, CVE-2009-2676, CVE-2009-2690)

Mehrere Sicherheitslücken wurden in Sun Java gefunden, die unter anderem zum Ausführen von Schadcode führen können.

Dieses Update aktualisiert Sun Java auf Build 15, der alle diese Sicherheitslücken beseitigt.

Linux-Kernel (CVE-2009-2692, CVE-2009-2698)

Eine fehlerhafte Initialisierung in einem Makro im Socket-Code des Linux-Kernels kann von lokalen Benutzern ausgenutzt werden, um Root-Rechte zu erlangen. Für diese Sicherheitslücke existieren öffentlich verfügbare Exploits.

Eine fehlerhafte Initialisierung im UDP-Socket-Code des Linux-Kernels kann von lokalen Benutzern ausgenutzt werden, um Root-Rechte zu erlangen. Für diese Sicherheitslücke existieren öffentlich verfügbare Exploits. Diese Lücke betrifft nur den 2.6.18 Kernel.

Dieses Update für die Kernel 2.6.18 und 2.6.26 behebt diese Sicherheitslücke.

Nagios (CVE-2007-5624, CVE-2009-2288)

Mehrere Sicherheitslücken wurden im Netzwerk-Überwachungsdienst Nagios entdeckt:

[ul]
[li] Im Nagios-Admin-Interface zur Anzeige der überwachten Objekte wurden zahlreiche Cross-Site-Scripting-Lücken entdeckt. (CVE-2007-5624)[/li]
[li] Eine unzureichende Überprüfung von Benutzereingaben in statuswml.cgi erlaubt die Ausführung beliebigen Programmcodes mit den Privilegien des nagios-Prozesses. (CVE-2009-2288)[/li][/ul]

Dieses Update beseitigt alle diese Sicherheitslücken.[/*:m][/list:u]


#2