 |
||||||||
   April 2000, letzte Ergänzung: 05. Mai 2000
|
||||||||
Die meisten Links führen direkt auf die
entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige
Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu
installieren sind) ist damit sichergestellt.
Die meisten nachgeladenen Texte sind auf englisch. |
||||||||
|
||||||||
Das US-CERT berichtet, dass noch immer sehr
viele Angriffe gegen Maschinen, die mit einem veralteten BIND
("named") als Domain Name System (DNS) betrieben werden. Auf
einigen Sites, bei denen die NXT-Lücke ausgenutzt wurde, finden sich
beispielsweise leere Verzeichnisse (z.B. /var/named/ADMROCKS, /var/named/O).
Andere Effekte sind: |
||||||||
|
|
||||||||
Der AIX Fast Response Cache Accelerator (FRCA) ist ein Erweiterungsmodul des Kernels, das die Perfomance von Web Servern erhöht. Vorrangig wird es mit dem auf Apache basierenden IBM HTTP Server eingesetzt. Das Programm frcactrl dient zur Konfiguration des FRCA und ist Teil von AIX 4.3. Das Sicherheitsrisiko, das gefunden wurde, betrifft AIX mit dem Fix IY02669 und geladenem FRCA. Das setuid-Bit wird durch APAR (Authorized Problem Analysis Report) IY02669 eingeschaltet, wodurch auch normale Benutzer das Modul konfigurieren können. Ein Angreifer kann über frcactrl die Konfiguration der FRCA Logdateien verändern und unter dem Strich auch Dateien als Root überschreiben oder anlegen. IBM arbeitet an einem Patch. Wird FRCA nicht benötigt, sollte es nicht geladen sein. |
||||||||
|
|
||||||||
Imap-uw ist ein weite verbreiteter Mailserver
der University of Washington für die Protokolle IMAP4/POP2/POP3.
Verschiedenste Möglichkeiten zu Pufferüberläufen wurden gefunden.
Hat sich beispielsweise ein Benutzer erfolgreich am Server
authentisiert, kann er (mit seinen Benutzerrechten) beliebigen Code
auf der Maschine ausführen. Diese Lücke betrifft nur
"geschlossene" Server, also solche, wo er normalerweise
keine Shell bekommt. In der Bibliothek libc-client, die Benutzern
viele Funktionalitäten zur Verfügung stellt, wurden ebenfalls
Lücken gefunden. Eine kann dazu führen, dass ein lokaler Benutzer
die Mailboxen anderer sperrt. |
||||||||
|
|
||||||||
In Spectra setzt der Container Editor Preview keine Objektsicherheit ein. Keine Objektmethode im Objekt-Array des Containers kann über die Veröffentlichungsregel weiter abgesichert werden, sie ist ausgeschaltet. Allaire hat einen Patch veröffentlicht. |
||||||||
|
|
||||||||
Mit den FrontPage 2000 Extensions für den Internet Information Server 5.0 ist es FrontPage Benutzern möglich, beim Verbinden über das Web mit dem FrontPage Client eine Liste aller Benutzernamen des Windows 2000 zu erhalten. Ein ähnliches Problem wurde für NT 4.0 / IIS 4.0 und Windows 9x behoben - aber die Workarounds funktionieren unter Windows 2000 nicht. Microsoft arbeitet an einem Patch. |
||||||||
|
|
||||||||
Werden an den Real Server (7, pro, Intranet, Plus, Basic, G2 1.0 sowohl Linux als auch Windows) 471 Bytes "spezieller Daten" an Port 7070 geschickt, stürzt der Server ab. USSRLabs haben eine Demonstration veröffentlicht. Real Networks scheint an einem Patch zu arbeiten. |
||||||||
|
|
||||||||
Der Netscape Communicator 4.x ermöglicht es, dass von einem Web Server aus auf der lokalen Maschine Dateien lesbar sind. Darunter fallen z.B. auch die Bookmarks oder die Dateien des Cache. Ermöglicht wird dieses durch das Setzen von Cookies, die JavaScript enthalten. Eine detaillierte Beschreibung ist bei Bennett zu finden. Netscape wird dieses Problem im nächsten Minor-Upgrade gelöst haben. |
||||||||
|
|
||||||||
Der Remote Administrations Service hat einen Pufferüberlauf, über den ein Angreifer einen Denial-of-Service Angriff gegen das System starten oder auch beliebigen Code in das Betriebssystem eingeben kann. Novell arbeitet an einem Patch, eine Demonstration des Problems ist im Advisory gezeigt. |
||||||||
|
|
||||||||
Panda Security 3.0 für Windows 9x ist gegenüber indirekten Änderungen der Registry-Keys verwundbar. Daher können diese Keys im Prinzip von jedem lokalen Benutzer verändert werden. Deep Zone hat eine Demonstration des Problems veröffentlicht. Es wird empfohlen, den von Panda Software zur Verfügung gestellten Patch zu installieren. |
||||||||
|
|
||||||||
Im Package imwheel der Red Hat Linux Powertools
ist eine Lücke gefunden worden, durch die lokale Benutzer Root-Rechte
auf der Maschine erhalten können. Piranha, in dem u.a. der Linux
Virtual Server (LVS) enthalten ist, besteht eine Hintertür, über die
per inzwischen bekanntem Passwort beliebige Kommandos auf dem System
ausführbar sind. OpenLDAP folgt beim Anlegen von Dateien symbolischen
Links. Per Default geschieht dieses ins Verzeichnis /usr/tmp, was aber
ein SymLink nach /tmp ist. Als Folge können lokale Benutzer jeden
Inhalt beliebiger Dateien auf dem Dateisystem verändern. Es wird empfohlen, die entsprechenden Patches zu installieren: |
||||||||
|
|
||||||||
Spammer benutzen auch heute noch falsch konfigurierte SMTP Server als Relay, um ihre Massen-Mails möglichst unerkannt zu versenden. Dieses verursacht für den Betreiber eines solchen Mailservers Ärger und unnötige Kosten. Die Sendmail-Konfiguration von UnixWare 7 Release 7.0 und 7.0.1 und SCO OpenServer Release 5.0.x ist per Default so eingerichtet, dass ein Spam-Schutz nicht vorhanden ist. Es wird dringend empfohlen, die Konfiguration so anzupassen, wie es in den Advisories beschrieben ist. |
||||||||
|
|
||||||||
Caldera Systems berichtet über einige
Sicherheitslücken im OpenLinux. In dump existiert ein
Pufferüberlauf, über den Benutzer die Rechte der Gruppe tty erhalten
können. Im INN (InterNetNews) sind ebenfalls einige
Pufferüberläufe bekannt geworden, über die Benutzer die Rechte der
Gruppe news übernehmen können. In majordomo existieren einige
Sicherheitslücken über die Benutzer die Rechte dieses Programms
erhalten. OpenLinux mit dem Apache Server enthält das CGI Script rpm_query,
wodurch sich auch für Fremde alle installierten Packages auflisten
lassen. Schliesslich lässt sich der Telnet Daemon noch so
austricksen, dass der Authentisierungsmechanismus vollständig
umgehbar ist. |
||||||||
|
|
||||||||
Die FrontPage 97 und 98 Server Extensions umfassen zwei Komponenten, Htimage.exe und Imagemap.exe, die für die CERN- und NCSA-Kompatibilität der Server sorgen. In beiden Komponenten wurden Möglichkeiten zu Pufferüberläufen gefunden, durch die Angreifer beliebigen Code auf dem Server absetzen können. Diese Lücke betrifft nicht nur die FrontPage Server, sondern alle. Microsoft empfiehlt, alle Kopien der Dateien Htimage.exe und Imagemap.exe auf dem Server zu löschen. |
||||||||
|
|
||||||||
In CMD.EXE, dem Kommandoprompt von Windows NT 4.0 und Windows 2000, ist in dem Teil, der die Umgebungsvariablen behandelt, die Möglichkeit zu einem Pufferüberlauf gefunden worden. Hierdurch kann ein Angreifer grosse Teile des Speichers belegen, so dass dieser für andere Prozesse nicht mehr zur Verfügung steht. Auch kann die Antwortzeit des Servers hierdurch stark heruntergesetzt werden. Für Windows NT 4 und Windows 2000 hat Microsoft einen entsprechenden Fix bereitgestellt. |
||||||||
|
|
||||||||
Active Directory gestattet es, den Zugang zu Verzeichnisobjekten durch Attribute zu steuern. Jetzt wurde eine Möglichkeit gefunden, wie jeder Benutzer Attribute von Objekten, auch denen, zu denen er eigentlich keinen Zugang haben sollte, verändern kann. Microsoft hat einen Patch zur Behebung des Problems veröffentlicht. |
||||||||
|
|
||||||||
Bei den Versionen 3.50.7 und früher des Generic-NQS ist ein Sicherheitsloch gefunden worden, durch das lokale Benutzer leicht Root-Rechte auf dem System erhalten können. Ein Workaround ist, den generic-nqs Port zu entfernen, Patches stehen aber auch zur Verfügung. |
||||||||
|
|
||||||||
Cisco IOS Version 11.3AA, 12.0 releases: 12.0(2) bis einschliesslich 12.0(6) können, wenn sie mit einem Security Scanner getestet werden, plötzlich rebooten, was zu einem DoS führt, wenn dieses laufend gemacht wird. Weitere Informationen zu Fixes finden sich im Advisory. |
||||||||
|
|
||||||||
Nach Georgi Guninski gestattet der Microsoft Internet Explorer 5.01 die Umgehung der Policy für die Cross-Frame Sicherheit. Dieses geschieht durch Zugang auf das DOM (document object model) von Dokumenten mittels Java oder JavaScript. Es wird das DOM des Dokumentes vollständig offengelegt, was viele weitere Sicherheitsrisiken für die lokale Maschine nach sich zieht. Microsoft scheint an einem Patch zu arbeiten. |
||||||||
|
|
||||||||
Bei den Cisco Catalyst 4000, 5000, 5500, 6000 und 6500
mit der Software Version 5.4(1) kann jeder, der normalen Zugang zur
Konsole hat ohne Kenntnis des Enable-Passwortes in den Enable-Mode
umschalten. In Version 5.4(2) wird dieses Problem behoben. Derzeit
gibt es keinen Workaround. Das Einzige, was getan werden kann, ist,
den Telnet-Zugang zur Maschine stark zu beschränken: |
||||||||
|
|
||||||||
Pam und usermode laufen beide mit setuid binary und sie folgen ".." in Pfadangaben. Mit pam lässt sich jede Datei auf der Festplatte öffnen, und in Verbindung mit userhelper besteht für lokale Benutzer die Möglichkeit, Root-Rechte auf dem System zu erhalten. Weitere Informationen und Links zu Patches finden sich im Advisory. |
||||||||
|
|
||||||||
Im Windows NT 4.0 Option Pack (IIS 4.0), Personal Web Server 4.0 als Teil von Windows 9x und den Front Page 98 Server Extensions ist eine Lücke gefunden worden. In Dvwssr.dll, wodurch das Link-Feature in Visual Interdev 1.0 unterstützt wird, besteht ein ungeprüfter Puffer. Hierdurch kann der Server zum Absturz gebracht werden. Microsoft untersucht derzeit noch weitere Folgen, die sich ergeben könnten und empfiehlt vorerst, alle Kopien von dvwssr.dll vom Server zu löschen. Der einzige Verlust, der hierdurch entsteht ist, dass keine Link-Views von .asp-Seiten mit Hilfe des Visual Interdev 1.0 mehr möglich sind. |
||||||||
|
|
||||||||
Gpm ist ein Utility für Cut and Paste sowie ein
Mouse-Server für virtuelle Konsolen. Das im Package enthaltene
Programm gpm-root hat eine Sicherheitslücke, über die normale
Benutzer u.U. root-Rechte auf dem System erhalten können. |
||||||||
|
|
||||||||
Von dieser Lücke betroffen ist ein Registry-Key, der von der CryptoAPI Base CSPs zur Verifizierung der DLL für einen Hardware-Beschleuniger genutzt wird. Beabsichtigt ist, dass eine solche DLL den Zugriff auf den privaten und öffentlichen Schlüssel von Benutzern hat. Obwohl nur Administratoren berechtigt sein sollten, eine solche DLL im System hinzuzufügen, besteht die Gefahr, dass dieses aber auch jeder kann, der sich an der Maschine (meist PDC) anmelden kann. Wird zusätzlich von einem solchen Benutzer eine DLL geschrieben und installiert, so kann dieser Benutzer voll auf die Schlüssel der anderen Benutzer zugreifen. Betroffen hiervon sind alle Versionen von NT 4.0, nicht aber Windows 2000. Microsoft hat einen Patch für Systeme unter X86 und Alpha veröffentlicht. |
||||||||
|
|
||||||||
Liest der Internet Information Server spezielle URL's, kann dieses in einen DoS-Angriff enden. In einem URL können Escape-Sequenzen zur Darstellung von Sonderzeichen u.ä. verwendet werden. Schickt ein Angreifer einen URL mit extrem vielen hiervon an einen IIS, kann es dazu kommen, dass dieser für das Parsen des URL sehr viel Zeit und CPU-Last benötigt, was mit einem Stillstand des Servers enden kann. Microsoft hat für den IIS 4.0 und IIS 5.0 einen Patch herausgebracht. |
||||||||
|
|
||||||||
CRYPTOCard's CRYPTOAdmin Software ist ein System zur Benutzerauthentisierung für jedes System. Mit Hilfe einer PIN und des Tokens kann durch ein Challenge/Response Verfahren der Benutzer sicher authentisiert werden. Das für den Palm verfügbare Token PT-1, das auf einem PalmOS Device läuft, generiert ebenfalls die gewünschten Einmalpassworte. Die CRYPTOAdmin Software legt eine .PDB Datei an, die auf den Palm geladen wird. In ihr sind u.a. der Benutzername, die Seriennummer, der Schlüssel und die PIN gespeichert. Bekommt jemand Zugang zu dieser Datei, so besteht die Gefahr, dass die mit DES verschlüsselten Daten bekannt werden. Hat ein Angreifer die PIN und die .PDB Datei, so kann er sich jederzeit "im Namen des Benutzers" am CRYPTOAdmin Server authentisieren. Mit einem Pentium III/450 MHz ist mit Hilfe eines Tools die PIN innerhalb von weniger als 5 Minuten herauszufinden. Daher wird dringend empfohlen, die .PDB Datei nach dem Download auf den Palm zu löschen und die PIN öfters zu wechseln. |
||||||||
|
|
||||||||
IrcII ist ein populärer IRC-Client. In Version
4.4 ist die Möglichkeit gefunden worden, über das Kommando /DCC CHAT
einen Pufferüberlauf zu provozieren, wordurch aus der Ferne
beliebiger Code auf dem Clientrechner ausführbar ist. Es wird
empfohlen, den entsprechenden Patch zu installieren oder das Programm
vom System zu entfernen. |
||||||||
|
|
||||||||
Ein neuer Wurm wurde beobachtet, er nennt sich "chode," "foreskin," "dickhair", "firkin," oder "911". Der "chode" Wurm breitet sich unter Windows 98 aus, wenn Shares nicht geschützt sind. Er besteht aus mehreren Dateien und sorgt schliesslich am 19. eines jeden Monats dafür, dass alle Dateien auf C:\ gelöscht werden. Weitere Informationen finden sich im Advisory. |
||||||||
|
|
||||||||
Im Win32 RealPlayer Basic Client, Version 6 und 7, besteht die Möglichkeit eines Pufferüberlaufes, wenn in der "location" mehr als 299 eingetragen sind. Real arbeitet an einem Patch, bis zu seinem Erscheinen sollte auf jeden Fall im Browser ActiveX deaktiviert werden. |
||||||||
|
|
||||||||
In UnixWare 7.0.0 bis UnixWare 7.1.1 ist für
telnet eine Möglichkeit zum Pufferüberlauf gefunden worden, über
die mit telnet auch andere, beliebige Kommandos mit den Rechten, unter
denen telnet läuft, ausführbar sind. Ein Patch
(letter) steht zur
Verfügung. |
||||||||
|
|
||||||||
Gpm ist ein Utility zur Nutzung von Cut/Paste
sowie ein Mouse-Server für virtuelle Konsolen. Das gpm-root Kommando
erlaubt als Teil des gpm lokalen Benutzern, Menüs und durch die Maus
startbare Kommandos zu definieren. Wird es über gpm ausgeführt,
werden die Rechte der Gruppe 0 nicht korrekt zurückgegeben, was
lokalen Benutzern u.U. Root-Rechte auf dem System geben kann. |
||||||||
|
|
||||||||
Systeme der HP9000 Series 7/800 unter HP-UX 11.04 (VVOS) zeigen eine Sicherheitslücke in der Netzwerkschicht des Betriebssystems, durch die Daten über die Netzwerk-Karte an falsche Prozesse geliefert werden könnten. Voraussetzung ist, dass virtuelle Interfaces auf der Maschine eingerichtet sind. HP hat einen Patch veröffentlicht:
Zum Problem mit dem Aserver, das bereits veröffentlicht wurde, erfolgte eine Verbesserung des Workarounds. |
||||||||
|
|
||||||||
In den letzten Wochen wurden 33 neue Risiken
gefunden: |
||||||||
|
|
||||||||
Ruft der Benutzer ein Makro auf, das sich
ausserhalb des Spreadsheets befindet, ist im Excel vorgesehen, dass
sich ein Fenster mit einer entsprechenden Warnung öffnet. Allerdings
passiert dieses nicht, wenn ein Excel 4.0 Macro Language (XLM) einer
externen Textdatei aufgerufen wird. Die Funktion des Makros wird nicht
verändert, aber dieses "Feature" bietet im Prinzip
Angreifern die Möglichkeit, Makros vom Benutzer (mit seinen Rechten
auf dem System) ausführen zu lassen, ohne dass dieser es merkt. |
||||||||
|
|
||||||||
Durch eine Lücke besteht das Risiko, dass Benutzer über ungesicherte Konferenzen oder sogar per E-Mail auf gesicherte Bereiche zugreifen können. Dieses betrifft verschiedene von Forums verwendete Templates. Es wird empfohlen, den von Allaire herausgegebenen Patch zu installieren. |
||||||||
|
|
||||||||
CIAC hat ein Advisory über Distributed Denial of Service (DDoS) Angriffe veröffentlicht. Viele Netzwerk-Administratoren sind von DDoS Angriffen nur als Opfer betroffen. Die heutige TCP/IP Implementation bietet nur wenige Möglichkeiten, sich vor derartigen Angriffen zu schützen - wohl aber kann ein Administrator durch geeignete Gegenmassnahmen dafür sorgen, dass sein eigenes Netzwerk nicht als eine der Quellen für DDoS Angriffe genutzt wird. Einige Massnahmen sind im Advisory genannt, sie sollten von jedem verantwortungsvollen Administrator umgesetzt sein. Weitere Informationen über DDoS finden sich auch in einem anderen Papier des CIAC. |
||||||||
|
|
