English Version

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt.
Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

1) Durch das "Favorites" Feature können Benutzer des IE eine Liste ihrer favorisierten Web Sites führen (Bookmarks). Im IE 5 kann diese Liste Icons enthalten, die mit der entsprechenden Web Site korreliert sind. Es besteht die Möglichkeit, daß durch spezielle Icons ein Pufferüberlauf provoziert wird, durch den beliebiger Code auf der Maschine des Benutzers ausgeführt werden kann. Diese Lücke betrifft nur IE, die unter Windows 9x betrieben werden, NT-Systeme sind nicht betroffen.
2) 2) Die "Legacy ActiveX Control" Lücke bezieht sich auf ein ActiveX Control, das von früheren Installationen des IE genutzt wurde. Vom IE 4.0 und 5 wird es nicht benutzt. Ist es auf der Maschine installiert, kann von einer Web Site aus die lokale Festplatte ausgelesen werden.
Es wird empfohlen, den entsprechenden Patch möglicht umgehend zu installieren.

Wenn die Client-Software von Microsoft für die Einwahl über RAS oder RRAS genutzt wird, muß der Benutzer in einem Fenster seinen Account und Paßwort angeben. In diesem Fenster befindet sich eine weitere Checkbox, in der angeklickt werden kann, ob das Paßwort gespeichert werden soll - oder aber nicht. Unabhängig von der Eingabe des Benutzers wird der Username und das Paßwort in der Registry weggeschrieben.
Es wird empfohlen, die von Microsoft erschienenen Patches zu installieren: RAS, RRAS
Sie sind, wie bisher sehr häufig, nur für die US-Version von NT verfügbar.

Seit dem letzten CERT Summary im Februar 1999 (CS-99.01) sieht das US-amerikanische CERT derzeit folgende Trends:
1. Verstärkte Virus-Aktivitäten:
- Melissa: Der Melissa-Virus verbreitet sich hauptsächlich durch an E-Mails angehängte Word 97 bzw. Word 2000 Dokumente. Er wird von aktueller Anti-Virus Software entdeckt und entfernt. Weitere Informationen unter CA-99-04
2. CIH/Chernobyl: Der CIH-Virus infiziert ausführbare Dateien und wird durch die Ausführung einer infizierten Datei verbreitet. Daher verbreitet sich dieser Virus bei der normalen Nutzung von Rechnern relativ schnell. Die verbreitetste Version wird am 26. April, andere am 26. eines beliebigen Monats (speziell Juni) aktiv. Weitere Informationen unter IN-99-03
- Happy99: Happy99.exe ist ein Virus in Form eines Trojanischen Pferdes. Bei Ausführung des Programms ist auf dem Bildschirm ein Feuerwerk und eine Schrift "Happy 99" zu sehen. Gleichzeitig werden Systemdateien so modifiziert, daß "Happy99" an andere per E-Mail weitergeleitet wird. Weitere Informationen unter IN-99-02.
2. Wieder aufkommende SYN-Flooding Angriffe:
In letzter Zeit sind immer mehr SYN-Angriffe zu beobachten. Für diese Art von Denial-of-Service Angriff auf Protokollebene sind Schutzmechanismen verfügbar, die zumindest die Auswirkungen eines solchen Angriffs mindern. Weitere Informationen unter CA-96.21
3. Stark verbreitete Scans:
Scanner werden immer ausgefeilter, beginnend mit Tools, die einfache Skripten verwenden bis hin zur Verwendung von Stealth-Techniken. Mit diesen Tools werden immer mehr Server untersucht, als Ergebnis bekommen potentielle Angreifer Informationen über das installierte Betriebssystem und seine Lücken sowie installierte Programme und die entsprechenden Schwachstellen. Heute sind die meisten Angriffe automatisiert. Weitere Informationen dazu: IN-99-01, IN-98-06, IN-98-05, IN-98-04, IN-98-02. Die meisten Berichte an das CERT betreffen Lücken in mountd, IMAP und POP3.
4. Angriffe gegen Web Server
Das CERT erhält sehr viele Meldungen über Angriffe gegen Web Server, die besonders die Sicherheitslücken ausnutzen, die bei der Installation von Beispieldateien entstehen - besonders betroffen die Server Cold Fusion und IIS. Die Angriffe haben oft Lese- und Schreibrechte für den Angreifer zur Folge. Daher könnnen Angreifer beispielsweise auch die Inhalte des Web Servers modifizieren. Weitere Informationen über die Lücken der genannten Server bei Allaire und Microsoft.

Der Virus W97M.Melissa (CA-99-04) wurde erstmals im März 1999 entdeckt. Er wird derzeit wieder verstärkt verbreitet - und zwar als Word-Dokument mit "RTF"-Extension. Bei diesen Dokumenten handelt es sich nicht um RTF- sondern um Word-Dateien! Viele Benutzer haben ihren Virenscanner so konfiguriert, daß Dateien mit der Endung ".RTF" nicht gescannt werden, daher wird der Virus oft nicht entdeckt.
Alle Hersteller von Anti-Virus-Software haben inzwischen ihre Patternlisten aktualisiert, daß auch der Melissa-Virus nachgewiesen werden kann. Es wird empfohlen, immer die aktuellsten Patterns zu verwenden (auch wenn es sich hier nicht um einen neuen Virus handelt) und sicherzustellen, daß auch Dateien mit der Endung ".RTF" gescannt werden.

Durch das Ausnutzen einer Sicherheitslücke in midikeys ist es möglich, auf einer Maschine Root-Access zu bekommen. SGI hat dieses öffentlich diskutierte Problem bestätigt und arbeitet an einem Patch.
Als Workaround wird empfohlen, durch chmod 555 /usr/sbin/midikeys das Setuid-Bit zu entfernen.

Im NetBSD wurden zwei Sicherheitslücken gefunden, die das ARP Protokoll betreffen:
Die erste betrifft Maschinen mit mehr als einem Netzwerk-Interface. Adreß-Informationen eingehender ARP-Pakete werden nicht überprüft, ob sie am richtigen Interface ankommen. Daher kann von einem Interface aus die ARP-Information des anderen Interface verändert werden und somit die Maschine u.U. nicht mehr korrekt auf ARP-Anfragen antworten. Ebenso ist es möglich, daß hierdurch Datenverkehr umgeleitet wird. Die zweite Lücke betrifft statische ARP-Einträge, die ebenfalls auf der Zielmaschine verändert werden können.
Es wird empfohlen, den entsprechenden Patch zu installieren.

Die Komponente des RAS-Clients, die Telefonbucheinträge verarbeitet, hat eine Lücke, durch die zwei Sicherheitsrisiken entstehen. Durch die erste Lücke kann ein Denial-of-Service Angriff in der Art durchgeführt werden, daß ein Pufferüberlauf beim RAS-Client provoziert wird und er hierdurch abstürzt. Die zweite Lücke ist komplizierter auszunutzen. Sie basiert darauf, daß durch spezielle Einträge im Telefonbuch ebenfalls ein Pufferüberlauf stattfindet und dadurch beliebiger Code auf der Opfermaschine ausgeführt wird. RAS-Server sind von diesen Problemen nicht betroffen.
Es wird empfohlen, den von Microsoft veröffentlichten Hotfix zu installieren. Derzeit ist er nur für die US-Version von NT verfügbar.

Das CIAC hat eine Zusammenfassung über Sicherheit von Web Servern veröffentlicht.
Öffentliche Web Server sind immer mehr attraktive Ziele für Angreifer, die Unternehmen schädigen oder politische Meinungen veröffentlichen wollen. Gute aufgesetzte und betriebene Web Server mindern das Risiko eines Angriffs erheblich.

Compaq hat eine potentielle Sicherheitslücke in  /usr/dt/bin/dtlogin von Compaq's Tru64/DIGITAL UNIX gefunden, durch die unter bestimmten Umständen normale Benutzer Superuser-Rechte auf einer Maschine erreichen können.
Zur Beseitigung dieses Problems ist ein Patch für Tru64/DIGITAL UNIX V4.0B, V4.0D, V4.0E and V4.0F veröffentlicht worden.

ISS berichtet von 14 neuen Sicherheitslücken im letzten Monat:
- oracle-unix-symlinks
- novell-tts-dos
- inn-innconf-env
- inn-pathrun
- sol-lpset
- cde-dtprintinfo
- iis-samples
- http-alibaba-dotdot
- netscape-dirsvc-password
- servu-command-bo
- oracle-oratclsh
- linux-coas
- ie-dhtml-control
- netbsd-svr4
Weitere Informationen sind auf dem Server von ISS zu finden.

Das Windows Help Utility sucht Hilfe-Informationen für Applikationen und zeigt diese dem Benutzer an. Diese Informationen werden in verschiedenen Dateitypen gehalten und vom Help Compiler angelegt. Per Default sind die Hilfe-Dateien im Verzeichnis $WINNT\help abgelegt, für das lokale Benutzer Schreibrechte haben. Im Help Utility besteht eine Sicherheitslücke, über die bei speziellen Hilfedateien ein Pufferüberlauf ausgelöst werden kann. Hierdurch kann der lokale Benutzer beliebigen Code auf der Maschine ausführen. Diese Sicherheitslücke betrifft vorrangig Workstations, Terminal Server und andere Maschinen, auf denen sich Benutzer interaktiv einloggen und Hilfedateien modifizieren können.
Microsoft hat für die US-Version von NT 4.0 einen Hotfix veröffentlicht (X86, alpha), der baldmöglichst installiert werden sollte.

Bei der Installation des Site Servers kann das Verzeichnis AdSamples angelegt werden, wodurch die Möglichkeiten der AdServer Komponenten demonstriert werden. Wenn dieses Verzeichnis frei zugänglich vorhanden ist, kann der Benutzer die Datei zur Konfiguration des Servers auslesen. Diese enthält unter anderem sensitive Informationen zur SQL Datenbank wie z.B. Benutzernamen und Paßworte.
Es wird empfohlen, das Verzeichnis AdSamples vom Server zu entfernen.

Microsoft Excel 97 warnt Benutzer bei Öffnen einer externen Datei davor, daß diese Datei potentiell einen Virus oder andere Schadteile enthalten kann. Durch dieses Feature kann der Benutzer abwägen, ob er die Datei wirklich öffnen möchte. Es sind einige Möglichkeiten gefunden worden, wie dieser Warnmechanismus umgangen werden kann. Meist sind es sehr selten genutzte Kommandos, die zur Umgehung des Warnmechanismus genutzt werden.
Es wird empfohlen, den von Microsoft herausgegebenen Patch zu installieren.

In Oracle 8 sind mehrere Lücken gefunden worden, die es Angreifern ermöglichen, Schwachstellen in den Oracle Verwaltungstools auszunutzen. So können Angreifer z.B. ihre Rechte auf die des Benutzers "oracle" anheben. Dieser Benutzer kontrolliert normalerweise das gesamte Datenbanksystem. Angreifer können lokal Denial-of-Service Angriffe durchführen oder beliebig Daten löschen, verändern und anlegen.
Eine genaue Beschreibung des Problems und Lösungsansätze werden im Advisory ausgeführt.

Der Internet Information Server (IIS) 4.0 wird mit Beispieldateien ausgeliefert, aus denen Web Entwickler den Einsatz von Active Server Pages (ASP) lernen können. Eine dieser Beispieldateien ist ShowCode.asp, mit der Source Code von Beispielen über den Web Browser angezeigt werden. In ShowCode.asp findet nur eine ungenügende Überprüfung der Parameter statt, wodurch beliebige Dateien auf dem Server, auch außerhalb der Document Root sichtbar sind! Für Produktivserver sollten niemals Beispiele installiert sein, daher sollte das Verzeichnis /msadc/samples gelöscht werden. Installationen des Site Servers beinhalten die gleiche Sicherheitslücke. Folgende File-Viewer sind betroffen: ViewCode.asp, ShowCode.asp, CodeBrws.asp and Winmsdp.exe. Diese Dateien sollten auf dem Server nicht vorhanden sein. Zusätzlich sollten die Datei- und Verzeichnisrechte korrekt gesetzt sein. Für den IIS und den Site Server sind jetzt Hotfixes erschienen.

FTP Serv-U 2.5 kann durch das Absetzen von gültigen Befehlen mit 155 oder mehr Zeichen vollständig zum Absturz gebracht werden. Wenn genau 155 Zeichen übergeben werden, stürzt der Server ohne weitere Meldung ab, bei 156 oder mehr Zeichen meldet sich (wenn im NT konfiguriert) Dr. Watson. Der Server kann z.B. durch Kommandos wie
CWD xxxxxxxxxxxx... [155 characters or more]
zum Absturz gebracht werden. Es wird empfohlen, Version 2.5 oder die neueste Beta zu installieren.

Ergänzend zur derzeitigen Jahr 2000 Produkt Kompatibilitätsliste hat Cisco eine Ergänzung mit neuesten Informationen herausgegeben.

Heute machen Massen-Mailings ca. 20 bis 30% der Bandbreite des Internet aus. Das DFN-CERT hat einen Informationsbulletin über Spam heraugegeben und erläutert hier auch Verfahren, wie sich Betreiber von Mail-Servern gegen diese Werbeflut per E-Mail schützen können.

Im OpenLinux 1.0, 1.1, 1.2, 1.3, 2.2, in dem rsync-2.3.1 und früher besteht eine Lücke, durch die per rsync die Attribute und Rechte von Verzeichnissen lokaler Benutzer geändert werden können.
Es wird empfohlen, das Upgrade-Package (Source) zu installieren.

Hier sind die Meldungen vom April 1999 und März 1999 zu finden