English Version

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt. Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

DerWindows Media Encoder ist Teil des Windows Media Tools, das wiederum ein Teil der Windows Media Technologies ist. Windows Media Encoder wird für die Umwandlung digitaler Inhalte in da Windows Media Format zur Distribution über Windows Media Services über NT oder Windows 2000 genutzt. Wird eine spezielle Anfrage an den betroffenen Encoder geschickt, stellt er seine Arbeit ein. Die Gefahr eines DoS betrifft Provider, die Streaming Media bzw. Real-Time Aussendungen tätigen. Microsoft hat einen Patch veröffentlicht. 

Bei der Installation der SQL Server 7.0 Service Packs 1 oder 2 und Konfiguration der "Mixed Mode" Authentisierung wird das Passwort für den SQL Server SA-Account im Klartext in die Datei sqlsp.log im temporären Verzeichnis geschrieben. Dieses Verzeichnis ist für jeden Benutzer lesend zugänglich...
Microsoft hat für den SQL Server 7.0 Servcie Pack 2 einen Patch veröffentlicht.

GNOME enthält gdm, einen Ersatz für xdm, das für die grafische Konsole und Netzwerk-Logins zuständig ist. Der gdm kann ausgetrickst werden, wodurch über das Netzwerk ein direktes Schreiben in den Stack möglich its - ohne weitere Authentisierung des Benutzers. Läuft gdm mit Root-Rechten auf der Maschine, so kann der Angreifer eigenen Code mit Root-Rechten auf dem System ausführen. 
Der KDE CD-Player kscd ist mit setgid disk versehen, damit er auf die CDROM zugreifen kann. Hierfür ist es notwendig, in der Umgebungsvariable SHELL eine eigene Shell mit den entsprechenden Rechten zu hinterlegen. Angreifer können SHELL auf ein eigenes Programm umleiten und durch Schreiben auf die lokale Raw-Festplatte lokalen Root-Zugang zum System erhalten.
Es wird dringend empfohlen, die entsprechenden Patches von SuSE's Webpage for Patches zu installieren.

Die ersten beiden Lücken sind Denial-of-Service Angriffe. Ein undokumentierter Systemaufruf kann dazu führen, dass einzelne Prozesse Semaphoren blockieren und diese damit anderen Prozessen nicht mehr zur Verfügung stehen. Lokale Prozesse können die CPU und Kernel-Speicher blockieren, wodurch diese Ressourcen nur noch diesen Prozessen zugänglich sind - andere Prozesse sind nicht mehr ausführbar und damit blockiert. 
Ein früherer Fix, mit dem eigentlich für den ftpd das Parsen der Datei /etc/ftpusers robuster gemacht werden sollte, enthält einen Fehler, durch den Benutzer jetzt aus dem abgetrennten FTP Bereich herauskönnen und Zugriff auf die gesamte Maschine haben. NAI hat ein Advisory über XClock veröffentlicht. Dieses Programm kann so manipuliert werden, dass die Shadow-Datei, in der die verschlüsselten Passworte gespeichert sind, auslesbar ist. 
Patches stehen zur Verfügung, weitere Informationen sind in den entsprechenden Advisories zu finden.

Eine Lücke in der Implementation von xclock ermöglicht es, dass globale Variablen im Speicher überschreibbar sind. Hierdurch können lokale Benutzer den Speicher von xclock ansehen, auch den Inhalt der Shadow-Datei. 
Informationen über betroffene Systeme und die Verfügbarkeit von Patches finden sich im Advisory.

Das Programm gpm-root ist Teil des gpm-Packages und enthält eine Sicherheitslücke bezüglich setgid. Hierdurch können lokale Benutzer mehr Rechte als vorgesehen auf der Maschine erreichen. Patches stehen zur Verfügung, weitere Informationen daüber sind im Advisory zu finden.

System V IPC ist ein Satz von Interfaces, über die eine Kommunikation der Prozesse untereinander möglich ist: Nutzung gemeinsamen Speichers, Message-Queues und Semaphoren. Diese Dinge werden im User-Space durch ipcs und anderen Untililties gemanagt. Durch das Ausnutzen eines inkorrekt arbeitenden, undokumentierten Systemcall ist es möglich, dass lokale Benutzer jeden Prozess zum Hängen bringen können. Kein Prozess kann normal beendet werden. Das Ganze dauert an, bis ein anderer Benutzer einen "unblock" Call absetzt oder das System neu gestartet wird. Ein Patch steht zur Verfügung.
Wie bereits gemeldet, bestehen in Kerberos verschiedene Sicherheitslücken. Auch FreeBSD ist hiervon betroffen: Lokale und Benutzer über das Netzwerk können Root-Rechte auf der Maschine erreichen. Es wird empfohlen, die entsprechenden Programme zu aktualisieren. 

Das automatische Generieren von Schlüsselpaaren durch PGP 5.0 unter Unix birgt das Risiko, dass diese Schlüssel leicht zu knacken sind. Es ist nur PGP 5.0 betroffen.
Schüssel, die nicht-interaktiv mit PGP 5.0 auf einem System unter der Nutzung von /dev/random erzeugt wurden, sind vorhersagbar. Speziell gilt dieses, wenn in der genutzten Umgebung keine Datei randseed.bin vorhanden ist bzw. war. Dokumente, die mit einem derartigen Schlüssel verschlüsselt sind, können durch Angreifer entschlüsselt werden. Ebenso besteht die Gefahr bei digitalen Signaturen - auch mit Zertifikaten. Es wird empfohlen, die entsprechenden Schlüssel zurückzurufen und neue Schlüsselpaare (interaktiv) zu erzeugen.

 W97M.Melissa.BG ist ein neuer an Melissa angelehnter Makrovirus. Öffnet ein Benutzer ein infiziertes Dokument, schickt sich der Virus an alle im Adressbuch von MS Outlook eingetragene Adressen. Außerdem kopiert er sich selber in die Dateien C:\Data\Normal.dot und C:\WINDOWS\Start Menu\Programs\StartUp\Explorer.doc. Danach beginnt er, Teile der Festplatte zu löschen, bis schliesslich die Root-Verzeichnisse aller Laufwerke gelöscht werden. Hiermit ist wieder einmal gezeigt, dass mit Attachments an E-Mails großer Schaden anrichtbar ist - und dass Benutzer bei E-Mails unbekannter Herkunft auf keinen Fall die Attachments öffnen sollten...

Die Lücke durch “ResetBrowser Frame” betrifft sowohl  Windows NT 4.0 und Windows 2000. Wie bei den meisten Implementationen kann ein Master-Browser über den ResetBrowser Frame andere Browser ausschalten. Es besteht keine Möglichkeit, diese Funktionalität auszuschalten. Angreifer können innerhalb des Subnetzes beliebige Browser ausschalten - was in einem Denial-of-Service Angriff enden kann. 
Die andere Lücke (“HostAnnouncement Flooding”) betrifft lediglich Windows NT 4.0. Hier besteht keine Möglichkeit, das Browser-Table zu begrenzen. Angreifer können jetzt sehr viele HostAnnouncements schicken, wodurch weiterer Datenverkehr angestossen wird. Im Endeffekt kann dieses innerhalb der Strecke die Bandbreite des gesamten Netzwerkes "kosten" - neben Problemen, die eine Maschine unter NT dann mit den zu grossen Tables hat.
Es wird emfpohlen, Port 138/udp gegenüber dem Internet durch eine Firewall zu blocken und Patches zu installieren: Windows NT 4.0 Workstation, Server, und Server, Enterprise Edition sowie  Windows 2000. 

Durch eine Lücke im Netscape Navigator besteht für Angreifer die Möglichkeit, Web Server (inkl DNS) nachzubauen und dem Benutzer vorzugaukeln, dass für diesen Server ein gültiges Zertifikat vorhanden ist. Im Gegensatz zur Spezifikation wird die Konsistenz zwischen Zertifikat und DNS-Auflösung nicht mit einer Warnmeldung versehen, daher kann es passieren, dass der Benutzer sensible Daten an den (falschen) Web Server abliefert. Es wird dringend empfohlen, jeweils die Zertifikate zu überprüfen und Verbindungen abzulehnen, wo der im Zertifikat angegebene Name nicht mit dem aus dem DNS übereinstimmt.

Das Programm infosrch.cgi wird bei IRIX per Default installiert. Es dient für den Zugriff auf die SGI Online-Dokumentation über den grundsätzlich installierten HTTP Server auf Port 80. In infosrch.cgi wurde jetzt eine Lücke gefunden, über die im Prinzip jeder alle Dateien auf der Maschine mit den Rechten des Benutzers Nobody ansehen kann. Patches und auch eine temporäre Lösung stehen im Advisory zur Verfügung.

Wird der Gauntlet Firewall unter Unix betrieben, und kommt der Cyber Patrol Server zum Einsatz, besteht eine große Sicherheitslücke. Der Server bietet die Möglichkeit für einen Pufferüberlauf, wodurch einerseits keine HTTP Verbindungen mehr möglich sind - also ein klassischer Denial-of-Service. Andererseits besteht aber auch die Gefahr, dass durch diesen Pufferüberlauf Unberechtigte Root-Zugang zur Firewall erhalten. Um dieses Risiko zu vermeiden, sollte der Cyber Patrol Server ausgeschaltet und/oder ein Patch eingespielt werden.

Wie bereits gemeldet, wurden in Kerberos 5 Sicherheitslücken gefunden. Die im Netscape gefundenen sind mit Version 4.73 beseitigt, sie steht für Red Hat Linux zur Verfügung. Die folgenden Patches sollten installiert werden:
Red Hat Linux 6.2:
Intel: 
rpm -Fvh ftp://ftp.redhat.com/6.2/i386/krb5-configs-1.1.1-16.i386.rpm
rpm -Fvh ftp://ftp.redhat.com/6.2/i386/krb5-devel-1.1.1-16.i386.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/i386/krb5-libs-1.1.1-16.i386.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/i386/krb5-server-1.1.1-16.i386.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/i386/krb5-workstation-1.1.1-16.i386.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/i386/netscape-common-4.73-1.i386.rpm
rpm -Fvh ftp://ftp.redhat.com/6.2/i386/netscape-navigator-4.73-1.i386.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/i386/netscape-communicator-4.73-1.i386.rpm 
Alpha: 
rpm -Fvh ftp://ftp.redhat.com/6.2/alpha/krb5-configs-1.1.1-16.alpha.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/alpha/krb5-devel-1.1.1-16.alpha.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/alpha/krb5-libs-1.1.1-16.alpha.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/alpha/krb5-server-1.1.1-16.alpha.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/alpha/krb5-workstation-1.1.1-16.alpha.rpm
rpm -Fvh ftp://ftp.redhat.com/6.2/alpha/netscape-common-4.73-1.alpha.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/alpha/netscape-navigator-4.73-1.alpha.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/alpha/netscape-communicator-4.73-1.alpha.rpm 
Sparc: 
rpm -Fvh ftp://ftp.redhat.com/6.2/sparc/krb5-configs-1.1.1-16.sparc.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/sparc/krb5-devel-1.1.1-16.sparc.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/sparc/krb5-libs-1.1.1-16.sparc.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/sparc/krb5-server-1.1.1-16.sparc.rpm 
rpm -Fvh ftp://ftp.redhat.com/6.2/sparc/krb5-workstation-1.1.1-16.sparc.rpm
Red Hat Linux 5.2:
Intel: 
rpm -Fvh ftp://ftp.redhat.com/5.2/i386/netscape-common-4.73-0.5.2.i386.rpm 
rpm -Fvh ftp://ftp.redhat.com/5.2/i386/netscape-navigator-4.73-0.5.2.i386.rpm 
rpm -Fvh ftp://ftp.redhat.com/5.2/i386/netscape-communicator-4.73-0.5.2.i386.rpm 
Source:
rpm -Fvh ftp://ftp.redhat.com/5.2/SRPMS/netscape-4.73-0.5.2.src.rpm 

Der MetaProducts Offline Explorer 1.3.241startet einen Service auf Port 800, wodurch der Web Cache der Benutzer ohne Probleme auszulesen ist. Durch weitere Sicherheitslücken ist es fortgeschrittenen Angreifern auch möglich, über das GET-Kommando alle Dateien des PC auszulesen. Ein Patch wird bald veröffentlicht.

Der Nite FTPd ist in Visual Basic geschrieben und hält einige Möglichkeiten zum Denial-of-Service bereit: Kommen mehr als 40 USER Kommandos an den Server, geht dem System der Speicher aus und es stürzt ab. Auch unendlich lange Passworte verträgt der Server nicht. Neben diesen sind noch einige weitere Möglichkeiten gefunden worden. Der (deutsche) Hersteller weiß von dem Problem und wird es wohl bereinigen.

Der Lotus Domino Server 5.0.x überprüft nicht die Länge der Eingabe von Mailadressen. Während einer SMTP-Verbindung zum Ausliefern von Mail ist das Kommando MAIL FROM notwendig, um dem Server mitzuteilen, von wem die E-Mail kommt. Wird für den absenden Host 4 kB "Datenmüll" eingefügt (me@<four-kilobytes-of-junk>), so stürzt der Domino Server ab. Lotus scheint an einem Patch zu arbeiten.

Zwei fragmentierte Pakete an die Maschine, die mit dem NetProwler 3.0 überwacht wird, reichen, um ihn zum Absturz zu bringen. Voraussetzung ist, dass als IP Absenderadresse die von dieser Maschine angegeben ist. Ein Patch wird wohl bald veröffentlicht.

Auf Systemen unter AIX 3.2.x, 4.1.x, 4.2.x, 4.3.x können lokale Benutzer auf der lokalen oder auch auf gemounteten Festplatten schreibend auf Dateien zugreifen, obwohl sie eigentlich kein Recht dazu haben. Patches für alle Systeme, ausgenommen AIX 4.3.2, stehen hier zur Verfügung.

Ein Fehler in verschiedenen Versionen der Cisco IOS Software sorgt dafür, dass Cisco Router oder Switches aufhören zu arbeiten und neu starten. Dieses ist dann der Fall, wenn der HTTP Service eingeschaltet ist und mit einem URL der Form "http://<router-ip>/%%" angesprochen wird. Dieses kann für einen Denial-of-Service Angriff augenutzt werden. Patches stehen zur Verfügung und sollten baldmöglichst installiert werden.

In den Kommandos lp/lpset/lpstat unter Solaris ist die Möglichkeit zu einem Pufferüberlauf gefunden worden. Dadurch können lokale Benutzer Root-Rechte auf dem System erhalten. Ein "Pre-Patch" (noch nicht voll getestet) ist verfügbar, Administratoren sollten die Patches #T107115-04 für Solaris 7 bzw. #106235-05 für Solaris 2.6 installieren.

ClusterCATS läßt unter Umständen bei einem HTTP-Redirect weitere Daten an der URL, wodurch auch unter gewissen Umständen Benutzername und Passwort weitergeleitet werden können. Ein Patch steht zur Verfügung.

Das Sicherheitsfeature ipchains des Linux Kernel hat eine Lücke, die bezüglich udp und den FTP Rückverbindungen ausgenutzt werden kann. Außerdem besteht die Möglichkeit, dass Benutzer die Maschine zum Absturz bringen können. 
Es wird dringend empfohlen, die entsprechenden Patches von SuSE's Webpage for Patches zu installieren.

OpenLDAP folgt beim Anlegen von Dateien symbolischen Links. Per Default werden Dateien im Verzeichnis /usr/tmp angelegt, symbolisch verbunden mit dem welt-schreibbaren Verzeichnis /tmp. Daher können Benutzer im Prinzip jede beliebige Datei auf der Maschine überschreiben. Ein Patch wurde veröffentlicht, Links dazu sind dem Advisory zu entnehmen.

Kann ein Paket nicht als ganzes über das Netzewerk transportiert werden, so wird es von Routern in einzelne Fragmente aufgeteilt. Diese werden zum Zielsystem geleitet und hier zum Originalpaket zusammengebaut. Systeme unter Windows haben hier eine Lücke, die bei einem kontinuierlichen fragmentierten Datenstrom dazu führen kann, dass die CPU Last erheblich steigt - was insgesamt zu einem Denial-of-Service (DoS) führen kann. 
Microsoft hat Patches für Windows 95, Windows 98, Windows NT 4.0 Workstation, Server und Server, Enterprise Edition, Windows NT 4.0 Server, Terminal Server Edition sowie Windows 2000 Professional, Server und Advanced Server veröffentlicht.

In den verschiedenen Versionen des IE von Microsoft wuden drei neue Lücken gefunden:
- Die "Frame Domain Verification" Lücke, über die Betreiber von Web Servern sämtliche Dateien vom abrufenden Client auslesen können.
- Die "Unauthorized Cookie Access" Lücke gestattet es Betreibern von Web Servern die auf dem Client gespeicherten Cookies auszulesen.
- Die "Malformed Component Attribute" Lücke erlaubt es Betreibern von Web Servern beliebigen Code auf der Maschine des Clients auszuführen.
Ein Patch, der IE 4.01 SP2 oder 5.01 voraussetzt, ist von Microsoft veröffentlicht worden.

Der CERT Coordination Center hat in letzter Zeit einige Möglichkeiten zu Pufferüberläufen in der Kerberos Authentisierungs-Software bemerkt. Die größte Sicherheitslücke erlaube es Angreifern, Root-Rechte auf der Maschine mit der Kerberos Authentisierungs-Software zu erreichen. Sind gefährdete Services auf dem Key Distribution Center (KDC) in Betrieb, so kann die ganze Kerberos Domain kompromittiert werden.
Nähere Informationen finden sich im Advisory. 

Emurl 2.0 gestattet den Abruf von E-Mails über das Web mittels spezieller URL's. Durch eine Lücke ist es Angreifern, die hinter den Code zur Berechnung des URL gekommen sind, möglich, alle Mailboxen ohne Passwortangabe auf dem System abzurufen. Existieren mindestens zwei identische  Mailboxen auf dem System ist der gleiche Effekt vorhanden. Eine Demonstration des Problems ist im Advisory einzusehen. SeattleLab hat eine verbesserte Version veröffentlicht.

NTmail Version 5.x enthält ein Web Interface zur Konfiguration (Port 8000) und eines zur Nutzung als Proxy (Port 8080). Wird dieser Proxy ausgeschaltet, so ist es für Benutzer noch immer möglich, über Port 8000 in das Internet zu gelangen - wodurch die  möglicherweise vom Administrator beabsichtigte Proxysperre durch die Benutzer umgehbar ist.  NTMailUSA arbeitet an einem Patch.

AntiSniff ist ein von L0pht Heavy Industries im Jahre 1999 veröffentlichtes Tool. Es versucht durch eine Reihe von Tests festzustellen, ob eine Maschine im Netzwerksegment auch Datenverkehr abhört, der nicht an sie gerichtet ist. Im Bereich DNS-Tests existiert eine Lücke, über die das System, auf dem die AntiSniff Software läuft, durch einen Pufferüberlauf abstürzen kann. Hierdurch kann der Angreifer im Prinzip jeden beliebigen Code auf dem System ausführen.
Weitere Informationen finden sich im Advisory.

Dieses Problem betrifft sowohl Unix als auch NT Web Server. Die Skripten calender.pl und calendar_admin.pl führen nur eine ungenügende Überprüfung der Eingaben durch. Daher kann im Prinzip jeder über das Netzwerk beliebige Befehle mit den Rechten des httpd-Prozesses auf der Maschine ausführen. Eine Demonstration des Problems ist im Advisory gezeigt. Es wird empfohlen, diese Skripten nicht zu nutzen und überhaupt mit CGI's sehr vorsichtig zu sein.

Ein ActiveX Control, das mit Office 2000 ausgeliefert wird, ist fälschlicherweise als "safe for scripting" gekennzeichnet. Dieses Control, Office 2000 UA Control, wird von der "Anzeigen"-Option der Office-Hilfe genutzt. Ein unseriöser Betreiber einer Web Site kann damit Office-Funktionen auf der Maschine des Besuchers seines Servers ausführen, ohne dass der Benutzer dieses unbedingt merkt. Das Control ist nur bei Office 2000 enthalten. Microsoft hat einen Fix veröffentlicht. Eine Demonstration des Problems ist hier zu finden.

Auf den Plattformen, die zur Veröffentlichung von Filemaker 5 Datenbanken durch den Web Companion genutzt werden, verhindert das Setzen von "Don't Show" nicht unbedingt, dass diese Felder auch wirklich nicht angezeigt werden. Daher können Benutzer diese Felder, die u.U. vertrauliche Informationen halten, einsehen. Es wird empfohlen, das veröffentlichte Update einzuspielen. 

Es scheint, als ob alle Versionen des Netscape Navigator (inkl. 4.72) bei der Überprüfung von SSL Sessions eine Lücke haben. Der Netscape Navigator erlaubt die Umgehung der Warnung bei einem ungültigen SSL-Zertifikat. SSL ist für kommerzielle Anwendungen im Internet heute sehr weit verbreitet. Durch die Lücke werden grundlegende Sicherheitsfeatures von SSL ausgetrickst: Der Benutzer kann nicht mehr sicher sein, dass er wirklich mit dem richtigen Server verbunden ist und daher kann er möglicherweise vertrauliche Informationen wie z.B. Kreditkarten-Nummern oder Passworte an den Betreiber des Servers übermitteln - auch wenn die Verbindung durch SSL gesichert ist. Netscape hat für den Navigator eine Ergänzung, den Personal Security Manager (PSM) veröffentlicht.

Wie im RFC 2396 geregelt, unterstützt auch der Internet Information Server abhängig von der Extension die direkte Ausführung von Dateicode auf dem Server. Schickt ein Angreifer einen URL an den IIS mit einer speziellen Endung, so kann er ihn dazu bringen, sehr viel oder alle Kapazität der CPU auf diese Anfrage hin zu verweden - der IIS steht danach. Microsoft hat einen Patch für den IIS 4.0 und IIS 5.0 veröffentlicht.

Beim Microsoft IIS 4.0 und 5.0 sind zwei Lücken gefunden worden, die sich durch die ISAPI Erweiterung ergeben. Letztere ermöglicht den Benutzern ihre Passwortverwaltung über den Browser durch .HTR Skripten.
- "Undelimited .HTR Request": Durch das Weglassen eigentlich geforderter Delimiter gerät der IIS durcheinander und er weigert sich, weitere .HTR Anfragen zu beantworten. Ausserdem kann der Server u.U. hierdurch auch insgesamt sehr langsam werden.
- ".HTR File Fragment Reading": Fragmente bestimmter Dateitypen können zur Ausführung "spezieller" Anfragen genutzt werden, wodurch im Prinzip jede Datei des Servers von aussen gelesen werden kann. Microsoft hat Patches für den IIS 4.0 und IIS 5.0 veröffentlicht.

Golddig ist ein Spiel unter X11, das als Teil der FreeBSD Portsammlung verfügbar ist. Es wird bei Golddig ein Utility installiert, das Benutzern erlaubt, beliebige Dateien auf der Maschine zu verändern. Libmytinfo ist Teil von ncurses, einer Library zur Darstellung von Text-Moden. Hier existiert eine Sicherheitslücke für binäre Dateien, die mit libmytinfo verlinkt sind und das setuid- bzw. setgid Bit gesetzt haben. Höhere Rechte sind für Benutzer erreichbar. Gnapster ist ein Client vom Napster Netzwerk. Der Gnapster Port (Version 1.3.8 und früher enthäölt eine Lücke, über die Benutzer über das Netzwerk alle Dateien, auf die Gnapster zugreifen kann, lesen können. Patches sind verfügbar und sollten installiert werden.

Der Empfang von IP Paketen mit speziellen IP Optionen kann unkontrollierten Zugriff auf den Kernel Mode oder Datenverlust zur Folge haben. Zwei Probleme sind der Grund hierfür: Erstens ein Zusammenhang zwischen dem GCC und einem Codefragment, das nicht ANSI C gemäß ist und zweitens verschiedene Bereichsüberprüfungen, die nicht korrekt arbeiten. Patches für NetBSD 1.4.1 und 1.4.2 stehen zur Verfügung.

In Netwin DNewsWeb v5.3e1 ist die Möglichkeit zu einem Pufferüberlauf gefunden worden, indem ein überlanger URL (group und utag) an den Web Server übergeben wird. Hierdurch können auf ihm beliebige Kommandos ausgeführt werden. Auch im  Netwin DMailWeb v2.5d a ist ein Pufferüberlauf bekannt, der ebenfalls durch einen überlangen URL (utoken) ausgelöst wird. Auch hier können auf dem Web Server beliebige Programme ausgeführt werden. Patches stehen zur Verfügung.

Quake3Arena der Version 1.16 für Windows gestattet das Lesen und Schreiben von Dateien sowie einen automatischen Download von Dateien auf das System des Benutzers. Durch eine Sicherheitslücke besteht die Möglichkeit, dass ein Angreifer Schreib- und Leserechte auf dem Quake3Arena System des Benutzers erhält, wenn dieser sich mit einem Server verbindet, der von dem Angreifer kontrolliert wird. Daher könnte der Angreifer Passworte ausspähen, Dateien manipulieren oder auch Trojanische Pferde installieren. 
Es wird empfohlen, den im Advisory genannten Patch zu installieren.

In den letzten Wochen wurden 35 neue Risiken gefunden:
- eudora-warning-message
- icradius-username-bo
- postgresql-plaintext-passwords
- aix-frcactrl-file-modify
- cisco-ios-http-dos
- meetingmaker-weak-encryption
- pcanywhere-tcpsyn-dos
- piranha-passwd-execute
- piranha-default-password
- solaris-lp-bo
- solaris-xsun-bo
- solaris-lpset-bo
- zonealarm-portscan
- cvs-tempfile-dos
- imp-wordfile-dos
- imp-tmpfile-view
- suse-file-deletion
- qpopper-fgets-spoofing
- adtran-ping-dos
- emacs-local-eavesdrop
- emacs-tempfile-creation
- emacs-password-history
- irix-pmcd-mounts
- irix-pmcd-processes
- irix-pmcd-dos
- iis-myriad-escape-chars
- freebsd-healthd
- beos-syscall-dos
- linux-trustees-patch-dos
- pcanywhere-login-dos
- beos-networking-dos
- win2k-unattended-install
- mssql-agent-stored-pw
- webobjects-post-dos
- allaire-forums-allaccess
Weitere Informationen finden sich auf dem Server von ISS.

Ab späten Vormittag des 4.5.2000 wurden verstärkt E-Mails mit dem Subject ILOVEYOU und dem Text kindly check the attached LOVELETTER coming from me beobachtet. Angehängt ist die Datei LOVE-LETTER-FOR-YOU.TXT.vbs. Diese Datei enthält einen Wurm. Einige Folgen sind, dass diese Mail an das gesamte Adressbuch geschickt wird und einige "Optimierungen" am System vorgenommen werden (u.a. durch Download von Dateien vom Server http://www.skyinet.net/...), dem Versenden von Dateien über mIRC, dem Hinzufügen von Registry Keys und dem Verändern von Dateien (.vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, mp3, .mp2 und script.ini) auf der Festplatte. Sie werden alle in .vbs umbenannt und im Header steht:
rem barok -loveletter(vbe) <i hate go to school>
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines 
Wenn der Wurm aufgetreten ist und das AV-Tool diesen (noch) nicht erkannt hat, helfen folgende Schritte, das Originalsystem wieder herzustellen:
- Löschen der Dateien $WIN\system32\MSKernel32.vbs, $WIN\system32\LOVE-LETTER-FOR-YOU.TXT.vbs, $WIN\system32\LOVE-LETTER-FOR-YOU.HTM und $WIN\Win32DLL.vbs.
- Löschen folgender Registry-Keys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX
- Der Registry-Key 
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
muss auf den ursprünglichen Wert zurückgesetzt werden.
Mit einem Reboot sollte der Virus bzw. Wurm vernichtet sein. Ein Script zum Entfernen ist inzwischen auch verfügbar. Übrigens setzt der Wurm voraus, dass der Windows Scripting Host aktiviert ist.
Zusätzlich ist jetzt eine Variante aufgetaucht: Als Subject wird Joke angegeben und das Attachment heisst VeryFunny.vbs. Hierbei handelt es sich um denselben Source Code wie bei ILOVEYOU, aber die im Original-Code verwendeten Tab's sind in Leerzeichen geändert. Hierdurch kann es passieren, dass dieser Wurm nicht von allen AntiVirus Tools entdeckt wird. Eine gute Zusammenfassung von Gegenmaßnahmen (inkl. den Links zu AV-Herstellern) können Sie hier finden.

Das Cerberus Security Team hat in LSoft's Listserv Web Archive Komponente (wa.exe, Version 1.8d und früher) einen über das Netzwerk ausnutzbaren Pufferüberlauf gefunden. Hiervon ist sowohl die Unix, als auch die Windows Version betroffen. Listserv ist ein weit verbreitetes Softwarepaket für Mailing-Listen. Das Web Archive gestattet die Administration über ein Web Interface. 
LSoft arbeitet an einem Patch. Detaillierte Informationen über die gefundene Lücke finden sich hier, im Advisory ist eine Demonstration des Problems zu finden.

Aladdin Knowledge Systems' eToken ist ein portables USB (Universal Serial Bus) Device zur Authentisierung von Benutzern. eToken speichert die privaten Schlüssel, Passworte und elektronische Zertifikate in einem Hardware-Token von der Größe eines Türschlüssels. Kommt ein Angreifer an dieses Gerät, so kann er mit einfachsten elektronischen Mitteln und ohne Wissen der PIN diese auf den Default-Wert zurückstellen. Aladdin betont, dass es sich bei der Version 3.3.3.x des Tokens lediglich um eine Demoversion handelt - in der Dokumentation ist allerdings nichts darüber zu finden.
Detaillierte Informationen finden sich im Advisory.

In automountd (HP-9000 Series 700/800 HP-UX 10.20 und 11.00) wurde eine Lücke gefunden, durch die Angreifer beliebige Kommandos mit den Rechten des Automount Prozesses durchführen können. HP-9000 Series700/800 mit HP-UX 11.x und 10.x zeigen ein Sicherheitsrisiko in shutdown, das die Eingaben nicht korrekt verarbeitet. Hewlett Packard hat jetzt neue Patches veröffentlicht: 

Wie Caldera Systems berichtet, wird OpenLinux 2.3 Desktop mit einem falsch konfigurierten OpenLDAP Paket ausgeliefert. Der LDAP Daemon slapd legt im Verzeichnis /usr/tmp verschiedene Dateien an, symbolische Links werden aber nicht korrekt behandelt. Daher kann im Prinzip jeder Benutzer Dateien des Systems überschreiben.
LISA ist ein Tool, mit dem über die Konsole das System administriert werden kann. Versionen bis 4.1 haben mit der Behandlung temporärer Dateien ein Problem: Lokale Benutzer können Shell-Kommandos mit den Rechten von LISA (normalerweise root) ausführen. 
Es wird empfohlen, die erschienenen Patches zu installieren.

Das Cerberus Security Team hat in der Cart32 software von McMurtrey/Whitaker & Associates, Inc, einer Software für Web-basierte Einkaufswagen, eine Hintertür gefunden. Betroffen sind die Versionen Cart32 v2.6 und 3.0. Die gefundene Hintertür bietet Angreifern Zugriff auf Passworte und Kreditkartendaten. Zusätzlich können u.U. das Administratorpasswort geändert oder auf einem Remote-Server beliebige Kommandos ausgeführt werden. Eine Demonstration des Problems ist im Advisory zu finden, ein Patch wurde veröffentlicht.

Das US-CERT erhält immer mehr Berichte, nach denen Angreifer Nameserver für die Durchführung von DoS-Angriffen über Paketfluten einsetzen. Die Methode besteht darin, dass viele Anfragen mit einer gefälschten IP Absenderadresse über Port 53/udp an Nameserver getätigt werden. Die meist größeren Antworten werden an die im Paket enthaltene IP Absenderadresse (hier dann das Opfer des Angriffs) geschickt. Weitere Informationen finden sich im Advisory.

Der Cassandra NNTP Server Version v1.10 enthält einen ungeprüften Puffer, wodurch Angreifen den Service auf Port 119 "ausschalten" können. Werden in Verbindung mit dem AUTHINFO-Kommando ca. 10.000 Zeichen geschickt, ist der DoS-Angriff erfolgreich. Atrium Software International arbeitet an einem Patch.

Aaa_base ist ein Basispaket, das mit jeder SuSE Linux Distribution installiert wird. Zwei Lücken wurden gefunden:
1) Der Cronjob /etc/cron.daily/aaa_base führt täglich eine Überprüfung der Verzeichnisse /tmp und /var/tmp durch, wobei auch veraltete Dateien gelöscht werden können. Ist diese "Reinigung" der Verzeichnisse konfiguriert, können lokale Benutzer im Prinzip jede Datei oder jedes Verzeichnis auf der Festplatte löschen.
2) Einige Accounts haben /tmp als Home-Verzeichnis - z.B. die Benutzer games, firewall, wwwrun und nobody bei SuSE 6.4. Legt ein Angreifer im Verzeichnis /tmp nun "."-Dateien wie Profile in /tmp an, so können sie u.U. durch den Befehl "su - nobody" zum Tragen kommen und die Benutzer-ID wird kompromittiert. Diese Lücke könnte auch auf anderen Unix-Systemen vorhanden sein.
Es wird dringend empfohlen, die entsprechenden Patches von SuSE's Webpage for Patches zu installieren.

Jetzt ist ein neues Tool für die Durchführung von Distributed Denial of Service (DDoS) Angriffe auf verschiedenen Mailinglisten veröffentlicht worden: mstream. Das Tool enthält einen "Master Controller" und einen "Zombie". Der Master hat die Kontrolle über die Zombies. Der Angreifer verbindet sich über telnet mit dem Master und steuert so die Zombies. Der Angriff selber wird von den Zombies durchgeführt, es handelt sich um einen modifizierten Angriff des Typs "stream.c". Weitere Informationen finden sich im Advisory und auf der Site von packetstorm.