English Version

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt.
Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Wird der IIS auf einer Maschine mit einer Code Page betrieben, deren Character-Set aus zwei Byte besteht (z.B. Default-Sprache chinesisch, japanisch oder koreanisch), kann es dazu kommen, daß bei einem speziellen URL-Aufruf eine Datei aus einem virtuellen Verzeichnis aufgerufen wird und so die normalen Serverprozesse umgangen werden. Die Datei wird nur als normaler Text angezeigt, was von Microsoft als Sicherheitsrisiko bezeichnet wird.
Für die englische, vereinfachte chinesische, traditionelle chinesische, japanische und koreanische Version ist ein Patch verfügbar.

Wenn alle Threads in CSRSS.EXE auf eine Eingabe der Benutzer warten, können keine weiteren mehr durchgeführt werden - der Server hängt. Wenn ein Benutzer eine Eingabe vornimmt, arbeitet er normal weiter. Ein Patch verhindert diese Art, einen Denial-of-Service Angriff durchzuführen.
Er ist, wie weitere Informationen auch, im Advisory zu finden und ist derzeit nur für die US-Version von NT verfügbar.

Windows NT bietet die Möglichkeit, daß die Benutzerprivilegien über eine Local Security Authority (LSA) API abgehandelt werden. Diese API erlaubt Programmen, nach Benutzernamen zu fragen sowie deren Privilegien und andere sicherheitsrelevante Dinge zu ändern. Bestimmte Methoden innerhalb der API behandeln falsche Argumente nicht in der korrekten Weise, wodurch ein Denial-of-Service Angriff gegen die Maschine möglich, der durch einen Neustart behoben werden kann.
Für die US-Versionen von NT ist ein Hotfix erschienen, der baldmöglichst installiert werden sollte.

ISS berichtet von 6 neuen Sicherheitslücken:
- sun-rpc-statd
- ntmail-relay
- management-agent-file-read
- management-agent-dos
- http-cgi-cdomain
- ExploreZip Trojan Horse
Weitere Informationen sind auf dem Server von ISS zu finden.

Der IIS unterstützt einige Dateitypen, die dann auf dem Server ausgeführt werden. Durch die Anfrage eines Web Besuchers wird ein Dateityp angefordert und durch eine Filter-DLL verarbeitet. Hier existiert in ISM.DLL eine Sicherheitslücke durch die mangelnde Überprüfung der Übergabeparameter bei der Verarbeitung von .HTR-Anfragen. Mit HTR-Dateien ist die Remote-Administration von Benutzerpaßworten möglich. Das Ergebnis eines Pufferüberlaufes, begründet durch diese Lücke, ist entweder ein Denial-Of-Service oder, wie bei Pufferüberläufen meistens, die Möglichkeit, auf dem Server beliebigen Code auszuführen.
Es wird dringend empfohlen, das Mapping für HTR-Dateien zu entfernen. Wie dieses vorgenommen werden kann, ist im Advisory ausführlich beschrieben. Alternativ sollte unbedingt ein von Microsoft veröffentlichter Hotfix installiert werden (US-Version, deutsche Version).

Ein Trojanisches Pferd treibt derzeit als E-Mail Attachment sein Unwesen. Das Programm nennt sich ExploreZip (alias: W32/ExploreZip.worm, Worm.ExploreZip). Es haben sich Anzeichen ergeben, daß es sich im Internet derzeit sehr schnell verbreitet. Das Programm nutzt keine neuen Sicherheitslücken aus und wird hauptsächlich, aber nicht nur, über E-Mail verbreitet. Der Benutzer wird durch den Text in der E-Mail aufgefordert, das Attachment zu öffnen:
  I received your email and I shall send you a reply ASAP.
  Till then, take a look at the attached zipped docs.
Einmal geöffnet, sucht das Programm die einzelnen Laufwerke (z.B. C:\ bis Z:\) durch und löscht unter Hinterlassung einer Dateilänge von 0 Bytes folgende Arten von Dateien: Microsoft Office (.doc, .xls, and .ppt) und Source-Code (.c, .cpp, .h und .asm). Die weitere Verbreitung des Programms geschieht automatisch, in dem es sich an die Antwort neu eingegangener E-Mail automatisch anhängt. Für die Weiterverbreitung wird Microsoft Outlook oder Microsoft Exchange benötigt.
Daneben verändert das Programm auf der lokalen Maschine die Datei win.ini und legt eine Datei namens explore.exe an.
Die Hersteller von Anti-Virus Software arbeiten an einer Lösung, derzeit sind Updates von NAI (McAfee), Symantec (NAV), DataFellows (FProt) und Trend Micro verfügbar.

Unter bestimmten Bedingungen kann der Netscape Enterprise Server (NES) Web-Anfragen nicht korrekt verarbeiten. Dieses Verhalten ist beim NES, der mit dem Praesidium VirtualVault Release A.02.00, A.03.00, A.03.01 und A.03.50 gebundelt ist, beobachtet worden. Es wird empfohlen, den entsprechenden Patch zu installieren.

Cisco's der Serie 12000 Gigabit Switch Routers (derzeit der 12008 und 12012 GSR) unter Cisco IOS Release 11.2(14)GS2 bis 11.2(15)GS3 forwarden aufgrund eines Fehlers in der "established"-Anweisung unauthorisierten Datenverkehr. Diese Lücke kann ausgenutzt werden, die Sicherheitspolitik eines Unternehmens zu unterlaufen. Wenn ein betroffener Router an einem Interface folgendes Kommando findet
access-list 101 permit tcp any any established
wird das Schlüsselwort "established" ignoriert und sämtlicher Verkehr durchgelassen. Es wird empfohlen, den im Advisory genannten Patch zu installieren.

Betroffen von dieser Lücke sind Systeme, auf denen ältere Versionen von statd und automountd betrieben werden. Durch eine Sicherheitslücke im statd können potentielle Angreifer beliebige RPC's unter dem Account, unter dem der rpc.statd läuft, absetzen. Typischerweise handelt es sich hierbei um Root. Eine Sicherheitslücke im automountd erlaubt es Benutzern, beliebige Kommandos mit den Rechten, unter dem der automountd läuft, auf dem System abzusetzen. Durch die Kombination beider Lücken besteht für das System das Risiko das gleiche Risiko.
Welche Hersteller betroffen sind, und wie das Problem umgangen werden kann, ist im Advisory ausgeführt.

KDE ist ein weit verbreiteter Window-Manager für Unix-Systeme. Es bietet eine leicht zu bedienende Oberfläche z.B. für verschiedene Unix-Applikationen, die normalerweise nur am Prompt laufen. K-Mail enthält eine Sicherheitslücke, durch die lokale Benutzer die UID beliebiger, K-Mail nutzender Benutzer kompromittieren können. Der Mail-Client legt im temporären Verzeichnis ungesicherte MIME-codierte Dateien ab.
Es wird empfohlen, den entsprechenden Patch zu installieren.

Linux 2.2.x Kernels haben ein Problem mit den IP Optionen, das sie für einen Denial-Of-Service Angriff empfinglich machen. Debian GNU/Linux 2.1 (slink) für Sun Sparc benutzt so einen Kernel. Wenn Sie ein solches System benutzen und mit dem Original-Kernel arbeiten, sollten Sie baldmöglichst ein Upgrade durchführen. Sun4u-Systeme müssen das entsprechende Package installieren, ansonsten ist das normale 2.2.9-Package einzuspielen.
Kernel-Headers-2.2.9, Kernel-Image-2.2.9 sun4u, Kernel-Image-2.2.9.

Sendmail ist ein Mail Transfer Agent (MTA), der frei verfügbar ist. Die Basisversion ist bekannt als "Berkeley Sendmail", diverse Hersteller, so auch Sun Microsystems, haben ihre eigenen Versionen von sendmail. In den genannten Systemen wurde ursprünglich ein modifiziertes Berkeley Sendmail 8.6.9 ausgeliefert. Es wurden verschiedene sicherheitsrelevante in Version 8.8.8 durchgeführt, so auch Verbesserungen in punkto Anti-Spamming, E-Mail Bomben und E-Mail relaying. Es wird empfohlen, die aktuelle Version zu installieren.

Rpc.statd ist im NFS der Monitor, der die Sperre einzelner Dateien überwacht. Er arbeitet mit dem rpc.lockd zusammen und ermöglicht über das NFS die Crash- und Recovery-Funktionen. Der rpc.statd erlaubt indirekte RPC-Calls und andere RPC Services. Er läuft als root und kann so Angreifern ermöglichen, die Zugangskontrolle zu anderen RPC Services zu umgehen.
Es wird empfohlen, den von Sun Microsystems herausgegebenen Patch zu installieren.

Die im Debian GNU/Linux 2.1 verwendete Version von IMAP hat eine Sicherheitslücke im POP-2 Daemon, der zum ipopd-Paket gehört. Durch diese Lücke können Benutzer über das Netzwerk als Benutzer "nobody" ohne Paßwort eine Shell und damit Zugang zur Maschine erlangen.
Es wird empfohlen, die entsprechenden Patches für Alpha, i386, m68k bzw. Sparc zu installieren.

ISS berichtet von 13 neuen Sicherheitslücken im letzten Monat:
- nt-ras-pwcache
- cmail-command-bo
- cmail-fileread
- ftgate-fileread
- coldfusion-admin-dos
- coldfusion-encryption
- netscape-space-view
- netscape-title
- netbsd-arp
- nt-ras-bo
- irix-midikeys
- cde-dtlogin
- nt-helpfile-bo
Weitere Informationen sind auf dem Server von ISS zu finden.

Hier sind die Meldungen vom Mai 1999, April 1999 und März 1999 zu finden