Sicherheitsupdates(DSA-3548-1 &DSA-3549-1 &DSA-3550-1)

Sicherheitsupdates für Samba, Chromium und OpenSSH   Sicherheitslücken DSA-3548-1 samba— Sicherheitsupdate Sicherheitsdatenbank Hinweis: CVE-2015-5370: Jouni Knuutinen von Synopsys entdeckte einen Fehler im Samba DCE-RPC Code, welcher zur Unterbrechung von Prozessen (Absturz und hohe CPU Auslastung) oder zu einer Man-in-the-Middle-Attacke führen kann. CVE-2016-2110: Stefan Metzmacher von SerNet und Mitglied des Samba Teams entdeckte, dass das Verweigern von NTLMSSP nicht vor einem Downgrade schützt. CVE-2016-2111: Wenn Samba als Domain Controller fungiert, ist es einem Angreifer möglich, den Computernamen in einem sicheren Channel zu fälschen und er erhält Zugriff auf empfindliche Sitzungsdaten. Dieser Fehler ist mit dem CVE-2015-0005 von Windows zu vergleichen, der von Alberto Solino von Core Security aufgespürt wurde. CVE-2016-2112: Stefan Metzmacher von SerNet und Mitglied des Samba Teams entdeckte, dass eine Man-in-the-Middle-Attacke LDAP Verbindungen herabstufen kann, um den Integritätsschutz zu verhindern. CVE-2016-2113: Stefan Metzmacher von SerNet und Mitglied des Samba Teams entdeckte, dass bei Client ausgelöste LDAP und ncacn_http Verbindungen Man-in-the-Middle-Attacken möglich sind CVE-2016-2114: Stefan Metzmacher von SerNet und Mitglied des Samba Teams entdeckte, dass Samba SMB Signierungen nicht erzwingt, auch wenn es in den Einstellungen aktiviert wurde. CVE-2016-2115: Stefan Metzmacher von SerNet und Mitglied des Samba Teams entdeckte, dass SMB Verbindungen für IPC Übertragungen nicht integritätsgeschützt sind. CVE-2016-2118: Stefan ...Read more

Sicherheitsupdates(DSA-3541-1 &DSA-3542-1 &DSA-3543-1)

Die Sicherheitsaktualisierungen von Roundcube, Mercurial und Oar.   Schwachstellen DSA-3541-1 roundcube— Sicherheitsupdate Hinweis zur Sicherheitsdatenbank: CVE-2015-8770: High-Tech Bridge Security Research Lab hat herausgefunden, dass Roundcube, ein Webmail Client, ein Directory Traversal beinhaltet. Dieser Fehler könnte von einem Angreifer Zugriff auf persönliche Daten auf den Servern geben, oder er könnte auch einen beliebigen Code ausführen lassen.   DSA-3542-1 mercurial— Sicherheitsupdate Hinweis zur Sicherheitsdatenbank: In Mercurial, das für Versionsverwaltung zum Einsatz kommt, wurden einige Schwachstellen entdeckt. Das Common Vulnerabilities and Exposures Projekt hat folgende Probleme identifiziert: CVE-2016-3068: Blake Burkhart entdeckte, dass Mercurial für Subrepos von Git erlaubt, URLs zu öffnen, welche einen beliebigen Code ausführen können. CVE-2016-3069: Blake Burkhart hat entdeckt, dass beim Konvertieren von Git-Repositories mit einem bestimmten Namen Mercurial einen beliebigen Code ausführen lässt. CVE-2016-3630: Es wurde entdeckt, dass Mercurial nicht sofort einen Fehler-Check in seinem binären Delta Decoder durchführt, wodurch möglicherweise das Fernsteuern eines Codes durch Klonen, Pushen oder Löschen möglich wurde.   DSA-3543-1 oar— Sicherheitsupdate Hinweis zur Sicherheitsdatenbank: CVE-2016-1235: Emmanuel Thome hat herausgefunden, dass fehlendes Bereinigen im Oarsh Befehl von OAR, eine Software für das Steuern von Aufgaben und Ressourcen eines HPC Clusters, zu ungewollten Berechtigungen führen könnte.   Korrekturstatus roundcube sicherheitslücken wurden behoben in version 1.1.4+dfsg.1-1; mercurial ...Read more