English Version

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt. Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Im Wordpad besteht eine Lücke, über die beliebiger Code auf der Maschine ausgeführt werden kann, ohne dass der Benutzer dieses bemerkt. Sie ist auch über den Internet Explorer unter Windows 9x ausnutzbar. Programme, die in .rtf bzw. .doc-Dateien enthalten sind, werden ohne Rückfrage beim Benutzer auf der lokalen Maschine ausgeführt. Auch wenn normalerweise zuerst das Notepad zur Anzeige von Texten genutzt werden soll, kommt bei grossen Dateien das Wordpad zum Einsatz - und genau hier besteht dann die Lücke. EIne Demonstration des von G. Guninski gefundenen Problems ist im Advisory zu finden. Microsoft arbeitet an einem Patch.

Es ist eine neue Version von trin00 aufgetaucht, die unter Windows 9x läuft. Diese Version ist im Prinzip genau die gleiche wie unter Unix, allerdings arbeitet sie auf Port 34555 und nicht wie die Unix-Version auf dem Default-Port 27444. Auch versucht der Daemon unter Windows auch nicht, zur Registrierung einen Master zu kontaktieren. Nähere Hinweise, wie herausgefunden werden kann, ob trin00 auf einem Windows-System installiert ist, finden sich im Advisory von ISS.

Die Handshake-Sequenz zwischen einem Windows Media Server und dem Media Player ist asynchron, da bestimmte Ressourcen-Anforderungen von vorhergehenden Kommandos abhängig sind. Schickt der Client in einer bestimmten Reihenfolge Kommandos an den Media Server, so stürzt der Server ab. Er kann durch einen Neustart des Dienstes wieder in Betrieb genommen werden, bestehende Sessions sind verloren. Microsoft hat einen (US-) Fix für NT Server 4.0 und Windows 2000 Server veröffentlicht.

Der Code, mit dem die Login-Kommandos einer Telnet-Session verwendet wird, führt nur eine ungenügende Überprüfung der Eingabe durch. Daher kann durch einen Pufferüberlauf jedes beliebige Kommando auf dem System ausgeführt werden. Eine Demonstration des Problems ist hier zu finden. Pragma Systems hat einen Fix veröffentlicht, der baldmöglichst installiert werden sollte.

Beim CiscoSecure Access Control Server (CiscoSecure ACS) für UNIX (Version 1.0 bis 2.3.2) wird ein Datenbankprotokoll verwendet, das unberechtigten Benutzern die Möglichkeit bietet, die Serverdatenbank zu lesen und auch schreibend zu modifizieren. Abhängig von der Umgebung kann auch die Möglichkeit bestehen, dass Zugriffslisten verändert werden. Ein Utility zum Lesen und Schreiben in der Datenbank ist bei CiscoSecure ACS enthalten. Diese Sicherheitslücke kann durch eine Rekonfiguration von CiscoSecure oder des Netzwerkes geschlossen werden. Cisco hat eine neue Version herausgebracht, die dieses Risiko vermindert. Weitere Informationen und ein Workaround ist im Advisory zu finden.

Asmon und ascpu erlauben es Benutzern, dass beliebige Kommandos im Konfigurationsfile des Benutzers gespeichert und ausgeführt werden. Beide Programme sind für verschiedene Linux verfügbar, bei der Installation unter FreeBSD müssen einige Patches gemacht werden - und genau hier liegt der Grund für die gefundene Sicherheitslücke. Es wird empfohlen, die neuen Packages für asmon und ascpu zu installieren.
Bei Delegate handelt es sich um einen vielseitigen Application-Level Proxy, der in einer so unsicheren Art und Weise geschrieben ist, dass hier verschiedenste Möglichkeiten vorhanden sind, Pufferüberläufe zu provozieren. Damit kann mit den Rechten, unter denen Delegate läuft (normalerweise sollte dies nobody sein), beliebiger Code ausgeführt werden. Von hier ausgehend sind  aber weitergehende Angriffe auf dem System machbar - daher sollte das delegate port Package unbedingt vom System entfernt werden.

Das mit Debian GNU/Linux 2.1 ausgelieferte Package make ist gegenüber einer Race-Condition, die über einen Symlink-Angriff ausgenutzt werden kann, empfindlich. Für das Anlegen temporärer Dateien im Verzeichnis /tmp verwendet make das Programm mktemp, das, wie in den man-Pages beschrieben, ein potentielles Risiko ist. In der Version 3.77-5slink ist dieses Problem behoben. Der Fix kann über Links im Advisory heruntergeladen werden.

Wenn das SMS 2.0 Remote Control Feature auf einer Maschine installiert und in Betrieb ist, sind die Rechte für das Verzeichnis des Remote-Agents per Default auf "Everyone Full Control" gesetzt. Wird der Client-Code durch einen Angreifer durch einen anderen Code ersetzt, so wird dieser nach dem nächsten Rebooten und Anmelden am System ausgeführt. Microsoft betont, dass diese Lücke nur dann besteht, wenn das Remote Control Feature eingeschaltet ist und dass keine anderen SMS Features davon betroffen sind. Microsoft hat einen Patch für Intel und Alpha veröffentlicht.

Die Internet Explorer 4.x und 5.x werden mit einer ActiveX-Komponente namens MS Active Setup ausgeliefert. Diese sorgt dafür, dass nur signierte Software installiert wird, wenn sie über das Internet geladen wird. Normalerweise wird der Benutzer auch über die Installation informiert bzw. gefragt, ob sie installiert werden soll. Speziell werden die Signaturen von Microsoft behandelt: Hier erfolgt keine Abfrage, so dass u.U. Komponenten ohne das Wissen des Benutzers installiert werden. Den Komponenten von Microsoft wird also blind vertraut. Microsoft arbeitet an diesem Thema.

Gegen den IIS (mit SMTP) unter Windows 4.0 kann ein Denial-of-Service Angriff durchgeführt werden, indem die Dateinamen in den Verzeichnisteilen, die den SMTP Service betreffen, länger als 85 Zeichen sind. Betroffen hiervon ist das Verzeichnis "\mailroot\pickup". Ist diese Bedingung erfüllt, meldet der IIS einen Fehler un der INETINFO Service stürzt ab - er ist aber notwendig für den Betrieb des IIS. Solange die Datei noch im Verzeichnis ist, kann der IIS auch nicht neu gestartet werden. Microsoft arbeitet an einem Patch.

In SuSE 6.1-6.3 ist ein Sicherheitsloch gefunden worden. Ein Angreifer kann im Hintergrund mit den Rechten des Benutzers, der make aufruft, beliebige Programme auf der Maschine ausführen. Auch der Root-Account ist hierdurch betroffen, wenn Makefile über stdin läuft. Es wird empfohlen, die entsprechenden Patches von SuSE's Webpage for Patches zu installieren.

Die Datei autorun.inf file kann nicht nur für CD's oder andere Wechselmedien eingesetzt werden. Befindet es sich auf einer Festplatte, wird beim Mappen des Laufwerkes eben auch ein in der autorun.inf angegebenes Programm ausgeführt - unter den Rechten des Benutzers, der sich mit dem Laufwerk verbunden hat. Microsoft arbeitet an einem Patch.

Die Microsoft VM ist eine virtual machine für Windows 9x und NT. Die mit den Internet Explorern ausgelieferte Version hat eine Sicherheitslücke, die ein Web Administrator dazu ausnutzen kann, durch ein Java Applet entgegen der Theorie lesend auf alle Dateien der Besucher des Web Servers im Intranet zuzugreifen. Notwendig hierzu ist, dass sowohl der Name als auch der Pfad dieser Dateien bekannt ist. Microsoft hat Patches für den IE 4.x, 5.0 und 5.01 veröffentlicht.

Beim Site Server 3.0, Commerce Edition sind zwei Beispiel-Web Sites enthalten, die nicht sicher sind. Ähnlich findet sich eine Sicherheitslücke durch die Benutzung eines der Wizards. Der Code, der als Identifizierungsnummer einzugeben ist, wird nicht genügend überprüft. Daher können an dieser Stelle auch direkt SQL-Statements abgesetzt und als Teil des Queries ausgeführt werden. Die Möglichkeiten gehen hin bis zur vollständigen Kontrolle über die Einträge in der Datenbank. Es wird empfohlen, den von Microsoft veröffentlichten Patch zu installieren.

Es wurde herausgefunden, dass während der Installation von Win2k ein Benutzer den ADMIN$ Share unter dem Administratoraccount nutzen kann, ohne dass ein Passwort anzugeben ist. Der ADMIN$ Share ist per Default auf das Root-Verzeichnis von Windows gemappt. Ein Patch wird wohl demnächst veröffentlicht.

Auf den Maschinen HP-9000 Series700/800 unter HP-UX 11.X ist ein mögliches Sicherheitsloch gefunden worden. In der Datei /etc/passwd ist bei den Systemen als Passworteintrag normalerweise ein "*" eingetragen. Eine Möglichkeit, diesen Eintrag durch ein Leerzeichen (aus Versehen) zu ersetzen ist, indem ein Restore mit Ignite-UX gemacht wird. Daher sollte der Administrator nach einem solchen Restore auf jeden Fall überprüfen, ob in /etc/passwd wieder der "*" an der Stelle des Passwortes eingetragen ist. Beim Anlegen eines Images mit Ignite-UX sollte auch auf jeden Fall _override_the_default_ eingeschaltet sein, damit /etc/passwd korrekt gespeichert wird. 

Beim Wechsel zwischen einzelnen Servern wird bei der Nutzung des IE jedesmal durch das Sicherheitsmodell überprüft, wie die Rechte des Servers im IE sind (z.B. ob der Server in der Internet- oder Intranetzone ist). Es besteht die Möglichkeit, dass ein Browser-Fenster in einer lokalen Datei des Clients geöffnet wird und damit also auch Daten vom Client an den Server übertragen werden. Notwendig hierzu ist allerdings, dass der Web Site Betreiber das Verzeichnis und den Namen der Datei weiss (was aber bei den vielen Default-Installationen eher einfach ist). Zusätzlich muss die Datei im Browser geöffnet werden können. Microsoft hat einen Patch veröffentlicht, der auch über das Windows Update erhältlich ist.

Um einen erfolgreichen DoS-Angriff gegen Netopia Timbukto Pro 2.0b650 durchzuführen, reicht es, einen Fehler im Authentisierungsprotokoll auszunutzen. Näheres im Advisory.  Netopia arbeitet derzeit an einem Patch.

Das procfs Filesystem bietet verschiedene Ressourcen eines Prozesses unter dem Verzeichnis /proc/<pid>/ an. Eine dieser Ressourcen ist das Speicherabbild des Prozesses. Werden Sicherheitsfeatures ausgetrickst, so kann dieses Image für die Manipulation eines anderen setuid-Prozesses genutzt werden, so dass dieser eine Shell ausführt. Die Installation eines Patches wird empfohlen.

Es wurden im SCO OpenServer einige MMDF Sicherheitslücken gefunden, auch verschiedene Pufferüberläufe. Eine Liste der betroffenen Programme, die durch einen Patch (binary, letter) ausgetauscht werden, findet sich im Advisory. Außerdem wurde eine Sicherheitslücke im Startscript des ARCserve für OpenServer 5 gefunden, über die lokale Benutzer Root-Rechte über die Maschine bekommen. Auch hierfür ist ein Patch (binary, letter) erschienen.

Wird an das SNMP Monitoring-System ein Trap mit einer Länge von über 306 Zeichen geschickt, stürzt dieses ab. Es wird empfohlen, ein Upgrade auf Version 1.18 durchzuführen.

Im Internet Anywhere Mail Server v3.1.3 Buld 1065 wurden zwei Möglichkeiten gefunden, ihn zum Absturz zu bringen. Wird ein spezieller String als Parameter für das Kommando RETR geschickt, stürzt der Server ab. Das gleiche passiert, wenn mehr als 3000 SMTP Verbindungen zum Server aufgebaut, die Fehlermeldung ignoriert und stattdessen weitere Verbindungsaufbauten erfolgen. True North Software arbeitet derzeit an einem Patch. 

In Check Point's FireWall-1 v3.x und 4.x wurde jetzt eine Möglichkeit gefunden (und auch öffentlich diskutiert), wie unberechtigterweise mit Hilfe manipulierter PASV FTP Pakete zu einem internen FTP Server TCP Verbindungen aufgebaut werden können. Typischerweise schickt der Benutzer bzw. der Browser an den FTP Server das Kommando PASV, das vom Server mit einer 227er Nachricht beantwortet wird. In dieser Antwort ist die Zieladresse und der Zielport enthalten, wo der Server den Verbindungsaufbau zur Datenübertragung erwartet. Genau diese Pakete mit der "227" am Beginn werden von der FW-1 ausgewertet, damit entsprechend der Verbindungsaufbau von außen möglich ist. Ist ein Matching vorhanden, öffnet die FW-1 dynamisch den Port und läßt den Verbindungsaufbau zu. Mit Tricks ist es jetzt gelungen, beliebige Verbindungen zu öffnen. Um dieses Risiko zu minimieren, wird dringend empfohlen:
- PASV FTP nicht zuzulassen, wenn es nicht benötigt wird (siehe Policy>Properties)
- den HTTP oder FTP Security Server für die Verbindungen zum internen FTP Server einzusetzen (Ressourcen)
- den FTP Server so sicher wie möglich aufzusetzen
Check Point hat einen Patch veröffentlicht, er besteht aus einer verbesserten Datei base.def. Sie kann (und sollte auch) über die Reseller bezogen werden.

In cu wurde eine Lücke gefunden, durch die lokale Benutzer Administrationsrechte auf der Maschine erhalten können. Es wird empfohlen, den von SCO veröffentlichten Patch (binary, letter) zu installieren.

Nutzt ein Angreifer einen langen relativen Pfadnamen bei der Ausührung von mount/umount, wird dynamisch allokierter Speicher der Funktion realpath überschrieben. Dieses könnte u.U. dazu führen, dass der Angreifer Root-Rechte auf der Maschine erhält.  Es wird empfohlen, die entsprechenden Patches von SuSE's Webpage for Patches zu installieren.

Wird ein spezieller URL an das Web Interface geschickt, kann der Server abstürzen oder in so einen Zustand gebracht werden, dass die Maschine neu gebootet werden muss. Es wird empfohlen, den Service Pack 1 des Groupwise Enhancement Packs zu installieren.

In MySQL 3.22.26a und andere Versionen gestatten es Benutzer der Datenbank, die Passworte anderer Benutzer zu verändern (inkl. dem des Administrators der Datenbank). Weitere Informationen sind im Advisory zu finden.

In der letzten Zeit werden verstärkt kommerzielle und wissenschaftliche Server und Netze mit sog. DDoS Angriffen beeinträchtigt. Zusätzlich zu den bekannten Tools trin00 und TFN sind jetzt zwei neuere Tools (TFN2K und Stacheldraht) verstärkt im Einsatz. Beide basieren auf den vorher genannten Programmen. Angreifer verteilen diese Programme auf Maschinen während eines Einbruchs und können sie von außen starten. Daher können hunderte von Systemen gleichzeitig einen Angriff gegen einzelne oder mehrere Zielsysteme durchführen und einen um Klassen härteren DoS-Angriff durchführen, als es von einem einzelnen System aus überhaupt möglich wäre. Wie effektiv diese "Methode" ist, ist derzeit auch in den Nachrichten verfolgbar.

Mit SuSE Linux 6.1 - 6.3 wird mysql 3.22.11-29 ausgeliefert. Bei dieser Version kann jeder Benutzer vom MySQL-Administrator das Passwort ändern. Normalerweise kann dieser Benutzer nur über die lokale Maschine auf die Datenbank zugreifen, daher eignet sich dieser Angriff über das Netzwerk nur zum Denial-of-Service. Dafür kann im Prinzip ein Angreifer mit den Rechten des Benutzers, der für make eingetragen ist, beliebige Kommandos ausführen. Benutzt root Makefiles über stdin, so kann dieser Account durch dieses Risiko kompromittiert werden. Es wird empfohlen, die entsprechenden Patches von SuSE's Webpage for Patches zu installieren.

Wie bereits Anfang Januar berichtet wurde, bestehen in der CDE und OpenWindows einige Sicherheitslücken. Sun Microsystems hat jetzt Patches veröffentlicht, die im Advisory verlinkt sind.

In allen Versionen des Open Server bis einschliesslich Version  5.0.6 besteht aus Testgründen ein Schreibrecht für eine Konfigurationsdatei des snmpd Daemon. Daher kann es möglich sein, dass Unberechtigte die System Group Description oder die Object-ID verändern können. Ebenfalls können bei SNMP-Anfragen falsche Antworten geschickt werden. Dieses betrifft den Status der Netzwerk-Interfaces, IP Forwarding, Routing, ARP-Cache und den Status der Netzwerk-Sockets. Die Möglichkeit zum Mithören besteht hierbei auch. Es wird kein Patch veröffentlicht, da bereits kleine Änderungen in der Konfiguration das Risiko ausräumen. Eine genau Beschreibung ist im Advisory beschrieben.

SurfControl Scout ist dazu gedacht, dass der Zugriff auf bestimmte URL's nicht mehr möglich ist. Durch das Anhängen von gleichen Zeichen an den URL besteht die Möglichkeit, dass die Sperrung umgangen wird. Ist der Zugang zu 
  http://www.verboten.com. ---
gesperrt, so ist er durch den Anhang eben doch möglich. Es ist ein Patch für die Versionen 2.1.6.x - 2.1.7.x herausgebracht worden. Außserdem steht die komplette Version 2.6.1.7 zum Download bereit. 

In OpenLinux eServer 2.3 mit mysql-3.22.30-1S kann jeder mit Zugriff auf den mySQL Server und GRANT-Rechten für jede Datenbank bzw. Tabelle das mySQL-Passwort ändern. Dieses gilt auch für den Administrator der Datenbank. Ohne Zugriffe auf einzelne Prozesse der Maschine ist so ein Denial-of-Service Angriff möglich, indem das Passwort des Administrators verändert wird. Es wird empfohlen, den Patch (Source Code) zu installieren.
In den Kommandos mount und umount, die im Caldera OpenLinux mit setuid root versehen sind, ist ein Pufferüberlauf gefunden worden. Diese Lücke ist zwar nicht leicht auszunutzen, trotzdem wird ein Upgrade (Source Code) empfohlen.

WWWThreads ist eine PERL-basierende Software für den Betrieb von Foren, die mit einem SQL Server laufen, z.B. mit mySQL oder dem Microsoft SQL Server. Wie von rain.forrest.puppy berichtet wird, besteht für normale Benutzer des Boards die Möglichkeit, hier Administrationsrechte zu erreichen. Hinweis: Hierbei handelt es sich bei gut aufgesetzten Systemen nicht um den NT Administrator. Weitere Informationen und ein Beispiel ist im Advisory nachzulesen. 

Im Internet Explorer 4.x und 5.x unter Windows sowie für andere Applikationen wie z.B. Outlook, die auch die Java Virtual Machine von Microsoft benutzen, besteht durch Java ein Risiko. Begründet ist dieses Risiko, das sowohl für Benutzer als auch Entwickler besteht, durch den Umgang mit der Variablen CLASSPATH. Für ein Java Applet ist es möglich, alle "known files" zu lesen. Hierdurch können von einem Web Server aus Datei-Informationen von Benutzern des IE ausgelesen werden, ohne dass diese es merken. Weitere Informationen finden sich im Advisory.

Wie von Gregor Guninski berichtet wird, besteht in Outlook Express 5.01 und Internet Explorer 5.01 unter Windows 9x ein Problem, wodurch von außen E-Mails gelesen werden können, nachdem eine "Spezialmail" gelesen worden ist. Das Problem basiert darauf, dass ein Dokument-Objekt einer E-Mail an eine Variable in einem neu geöffneten Fenster übergeben wird. Durch diese Variable besteht Zugriff auf eine geöffnete E-Mail. Die Umgehung des Problems wird wie so oft durch Ausschalten des Active Scripting erreicht.

Microsoft hat für dieses, bereits im Januar berichtete Problem, jetzt neue Patches herausgebracht: Windows NT 4.0 Workstation; Windows NT 4.0 Server; Windows NT 4.0 Server, Enterprise Edition (Intel und Alpha) sowie Windows NT 4.0 Server, Terminal Server Edition.

Das mit Debian GNU/Linux 2.1 ausgelieferte Package apcd ist gegenüber einem Symlink-Angriff empfindlich. Bekommt der Prozess das Signal SIGUSR1, wird der Status in /tmp/upsstat im Form eines Dumps weggeschrieben. Diese Datei wird nicht sauber verarbeitet, wodurch das genannte Risiko besteht. In Version 0.6a.nr-4slink1ist dieses Problem behoben. Es wird dringend empfohlen, die im Advisory aufgeführten Fixes zu installieren.

Bei den meisten Web Browsern besteht per Default die Möglichkeit, dass in den HTML-Code eingebettete Skripten verschiedender Sprachen direkt ausführbar sind. Daher besteht das Risiko, dass auch "unfreundliche" Skripten geladen werden und Folgen auf dem Client-Rechner haben können. Besondere Gefahr besteht bei Links von Servern, in (Spam-) E-Mails oder Postings in News Groups. Der PC des Benutzers, auf dem der Web Browser läuft, kann im Prinzip von außen durch Angreifer vollständig ausgelesen werden. Dieses gilt auch für Daten, die zwar über SSL verschlüsselt übertragen, vom Benutzer aber im Klartext getippt und dann im Memory-Cache des Browsers gespeichert werden. 
Wie schon so oft kann also der aktive Inhalt von Seiten extrem gefährlich sein. Weitere Informationen finden sich im Advisory, wo weitere Möglichkeiten genannt sind. Abhilfe ist hier nur das Ausschalten der Fähigkeit des Browsers, Skripten auszuführen. Einige Beispiele für Lücken in Browsern finden sich z.B. auch bei Hr. Guninski.

In den letzten Wochen wurden 12 neue Risiken gefunden:
- http-indexserver-dirtrans
- linux-vmware-symlink (Bugtraq)
- nt-rdisk-enum-file
- office-malformed-convert
- win-malformed-rtf-control-word
- nt-spoofed-lpc-port
- linux-corel-update
- icq-url-bo
- linux-pam-userhelper (L0pht)
- winamp-playlist-bo
- hp-aserver
- sun-sadmind
Weitere Informationen finden sich auf dem Server von ISS.

Der Papierkorb unter NT befindet sich für bestehende Benutzer in einem Verzeichnis, das an die SID des Benutzers gebunden ist. Dieses Verzeichnis kann nur von diesem genutzt werden. Es wird angelegt, wenn der Benutzer das erste Mal Dateien löscht. Genau hier besteht die Sicherheitslücke: Ein lokal angemeldeter Angreifer kann dieses Verzeichnis vor dem eigentlichen Benutzer anlegen und hat danach beliebige Rechte in diesem Verzeichnis. Damit kann er Dateien anlegen, modifizieren oder löschen. Ein Lesen ist nur unter bestimmten Voraussetzungen möglich.
Microsoft hat einen Patch für NT Workstation, Server und Enterprise Edition veröffentlicht (Intel, Alpha) (US-Version).

Viele Web-basierte Applikationen zum Einkaufen im Internet verwenden versteckte Felder im HTML-Code, um die Parameter der einzelnen Waren im Einkaufskorb zu speichern. Hierzu gehören z.B. der Name der Ware, Gewicht, Mende, Produktnummer und der Preis. Nutzt eine solche Applikation versteckte Felder im HTML, so kann eine Lücke ausgenutzt werden: Der Angreifer kann diese Seite modifizieren und dann in seinen Browser laden. Daraufhin gelangen diese modifizierten Daten in den Einkaufswagen - z.B. also mit einem anderen Preis. ISS hat elf Einkaufssysteme gefunden, bei denen solche Modifizierungen möglich sind. Weitere Informationen sind bitte dem Advisory zu entnehmen.

Hier sind die Meldungen vom Januar 2000, 
Dezember 1999, November 1999, Oktober 1999, September 1999, August 1999, Juli 1999, Juni 1999, Mai 1999, April 1999 und März 1999 zu finden