AERAsec - Network Security - Aktuelle Meldungen Juli 1999

Juli 1999, letzte Ergänzung: 04. Januar 2000

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt.
Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

System:	Cobalt Networks RaQ2 single rack unit Internetserver
Topic:	Unsichere Default-Konfiguration von RaQ2 Servern: Cobalt Networks, CA-99-10, ERS-1999.104

Ra2Q-Server werden über einen Web Server administriert. Systeme in der Default-Konfiguration haben eine ungenügende Zugangskontrolle, über die Fremde beliebige Software-Pakete remote auf dem Server installieren können. Es wird empfohlen, einen der folgenden Patches zu installieren: RaQ2, RaQ2 - japanische Version.

System:	Windows NT
Topic:	Sicherheitslücke durch Zubehör des Phone Dialers: MS99-026, ERS-1999.103

Das Programm dialer.exe hat in der Behandlung der Datei dialer.ini eine Sicherheitslücke, über die ein Pufferüberlauf provoziert werden kann. Hierdurch kann jeder Benutzer beliebigen Code auf der Maschine ausführen. Es wird empfohlen, den von Microsoft herausgegebenen Hotfix zu installieren: Windows NT Workstation and Server, Windows NT Terminal Server Edition. Wie häufig, ist der Fix bisher nur für die US-Versionen verfügbar.

System:	HP-UX
Topic:	Sicherheitslücke im Software Distributor (SD): HP Security Bulletin #00101, ERS-1999.102

HP9000 Series 700/800 unter HP-UX 10.XX und 11.00 oder Systeme, die SD OpenView/ITA installiert haben, sind gegenüber einer Sicherheitslücke anfällig, über die Benutzer Administrationsrechte auf derm Maschine erreichen können. Es wird empfohlen, die im Advisory genannten Patches zu installieren.

System:	AIX 3.x, 4.2.x, 4.3.x
Topic:	Denial-of-Service durch ptrace: ERS-1999.002i

Im ptrace Systemcall ist eine Möglichkeit gefunden worden, über die alle Benutzer es schaffen können, das System zum Absturz zu bringen. Benutzer von AIX 3.x sollten auf die Version 4 einen Update durchführen, die offiziellen Patches hierfür erscheinen demnächst. Ein temporärer Patch ist verfügbar.

System:	Red Hat Linux 6.0
Topic:	Sicherheitslücken in enlightenment und gnumeric:

System:	Red Hat Linux
Topic:	Neues Samba-Paket erschienen:

System:	Unix
Topic:	Sicherheitslücke in tiger: ERS-1999.101

Tiger ist ein Public-Domain Tool, das von der Texas A&M University entwickelt wird und für die Sicherheitsüberprüfung von Unix-Systemen gedacht ist. Aufgrund mangelnder Bereichsüberprüfungen kann es vorkommen, daß Benutzer Kommandos mit den gleichen Rechten wie das Programm tiger absetzen können. Hierbei handelt es sich meist um Root-Rechte auf der Maschine.
Es wird empfohlen, die entsprechenden Patches zu installieren.

System:	Microsoft IIS 3.0 und 4.0 mit Data Access Components 1.5
Topic:	Risiko durch ODBC Data Access mit RDS: MS99-025 (corr.), ERS-1999.099-1 und 2, S-99-21 und 21a

Das RDS DataFactory Objekt zeigt als Teil vom Microsoft Data Access Components (MDAC) ein Risiko. In Verbindung mit dem Internet Information Server 3.0 oder 4.0 kann das DataFactory Objekt unautorisierten Benutzern aus dem Web gestatten, u.a.:
- Unautorisierte Benutzer können Shell-Kommandos auf dem IIS-System als previligierter Benutzer ausführen.
- Auf einem an das Internet angeschlossenen System mit mehreren Netzwerk-Interfaces und dem IIS, der MDAC bentuzt, um SQL und andere ODBC-Anfragen zu tunneln, kann es vorkommen, daß Daten an das private Netzwerk übertragen werden.
- Unautorisierte Benutzer können abgesicherte, nicht veröffentlichte Dateien auf dem IIS-System abrufen.
Es wird empfohlen, ein Update auf die aktuelle Version des MDAC (2.1 SP2) durchzuführen, das virtuelle Verzeichnis /msdac zu löschen oder die Registry-Einträge zu korrigieren.
Wenn die RDS-Funtionalität benötigt wird, sollte der Zugriff auf /msdac durch einen Custom Handler kontrolliert werden. Weitere Informationen darüber finden sich hier.

System:	IRIX
Topic:	Sicherheitslücke im arrayd:SGI19990701, CA-99-09, ERS-1999.100, S-99-20

Bei IRIX- und UNICOS-Systemen, die den Array Services Daemon, arrayd, in der Defaultkonfiguration betreiben, ist eine Sicherheitslücke gefunden worden. Array Services werden genutzt, um Systemcluster zu managen. Die Default-Konfigurationsdatei arrayd.auth schaltet die Authentisierung aus und bietet daher den Systemen keinen Schutz, wenn sie an ein nicht vertrauenswürdiges Netzwerk angeschlossen sind. Benutzer können lokal oder über das Netzwerk beliebige Befehle als root absetzen. Es wird empfohlen, den arrayd so zu konfigurieren, daß er eine "SIMPLE" Authentisirung durchführt, wie es im Advisory beschrieben ist.

System:	Viele
Topic:	Sicherheitslücke im Calendar Manager Service: CA-99-08, J-051, ERS-1999.098, S-99-19

Im Calendar Manager Service daemon (rpc.cmsd) ist eine Lücke gefunden worden, die einen Pufferüberlauf mit allen Folgen ermöglicht. Der rpc.cmsd wird bei vielen Systemen im Common Desktop Environment (CDE) sowie in Open Windows verwendet. Welche Systeme genau betroffen und welche Gegenmaßnahmen zu ergreifen sind, ist im Advisory ausgeführt.

System:	Windows 9x und NT
Topic:	Back Orifice 2000 veröffentlicht: ISS-031, Microsoft, ERS-1999.097

Back Orifice ist eine Client/Server Applikation, mit der Informationen abgerufen, Systemkommandos ausgeführt, Maschinen rekonfiguriert und Netzwerkverkehr umgeleitet werden kann. Wenn ein Back Orifice Server auf einer Maschine läuft, ist diese von einem anderen Benutzer vollständig remote bedienbar ohne daß der Benutzer an seiner lokalen Maschine etwas bemerkt. Ältere Versionen von BO waren beschränkt auf Windows 9x, die jetzt veröffentlichte läuft auch unter NT.
Eine weitere Beschreibung der Funktionen findet sich im Advisory. Wir empfehlen dringend, keine Software dubioser Herkunft zu installieren, da das Risiko, daß BO2000 als Trojanisches Pferd verbreitet wird, sehr hoch ist.

System:	HP-UX
Topic:	Durch die CDE aktuelles Verzeichnis im root-PATH: HP Security Bulletin #00100, ERS-1999.096

Die Umgebungsvariable PATH wird aus verschiedenen Quellen her angelegt, u.a. auch durch dtsearchpath und Skripten in /etc/dt/config/Xsession.d/ und /usr/dt/config/Xsession.d/. Der resultierende PATH enthält den String "::", der als das derzeitige Verzeichnis interpretiert wird. Es wird empfohlen, die PATH-Variable jeweils zu kontrollieren und den Zeiger auf das aktuelle Verzeichnis zu löschen.

System:	HP-UX
Topic:	Risiko in HP Visualize Conference: HP Security Bulletin #0099, ERS-1999.090, J-050

HP Visualize Conference ist eine T-120 KOnferenzlösung, bei der die FTP-Möglichkeiten einem Teilnehmer gestatten, per FTP eine Datei an alle anderen Teilnehmer zu schicken. Generell sollte sichergestellt sein, daß eine gute Authentisierung der Konferenzteilnehmer durchgeführt werden. Es wird empfohlen, den von HP herausgegebenen Patch zu installieren:

HP-UX Series 700, release 10.20:

PHSS_17168

System:	Windows NT und 9x
Topic:	Neue Liste von Backdoors: ISS-030, ERS-1999.095

ISS hat die insgesamt dritte Liste über mögliche Hintertüren, Trojanische Pferde etc. in Windows-Systemen veröffentlicht. Wegen der hohen Anzahl genannter Hintertüren geht das Advisory nur kurz auf die jeweiligen Hintertüren ein.

System:	Windows NT 4.0
Topic:	Denial-of-Service durch ungeschützte IOCTLs: MS99-024, ERS-1999.094

Die IOCTLs, die für Tastatur- und Maustreiber zuständig sind, benötigen zum Aufruf kein Programm, das auf den Administrator beschränkt ist. Daher kann ein normaler Benutzer die Maus und die Tastatur lahmlegen. Um wieder normal zu funktionieren, muß das System rebootet werden.
Es wird empfohlen, den bisher nur für die US-Version erschienen Hotfix zu installieren: NT 4.0 Server and Workstation bzw. Terminal Server Edition.

System:	Windows NT 4.0, SP4
Topic:	Risiko durch Malformed Image Header: MS99-023, ERS-1999.091

Wenn eine ausführbare Datei, deren Image-Header nicht korrekt ist, aufgerufen wird, stürzt Windows NT ab. Es muß rebootet werden, damit es wieder funktioniert. Sämtliche vor dem Absturz nicht gespeicherten Informationen sind verloren.
Wenn SP5 noch nicht installiert ist, wird die Installation des Hotfixes für NT 4.0 Server and Workstation bzw. die Terminal Server Edition empfohlen.

System:	Debian Linux
Topic:	Sicherheitslücke in mailman: Debian0623, python

Die Mailman-Version, die mit Debian GNU/Linux 2.1 ausgeliefert wird, hat ein Problem bei der Feststellung des Mailinglisten-Administrators. Es beruht darauf, daß die im Cookie verwendete Zufallszahl vorhersagbar ist, wodurch fremde Personen Web-Administrationszugriff auf die Mailingliste haben, ohne ein Paßwort zu wissen. In Version 1.0rc2-5 ist dieses Problem behoben.

System:	Windows NT
Topic:	Sicherheitslücke in WebTrends Software: ISS-029, ERS-1999.093

Diese Lücke tritt nur bei Systemen auf, die mit MAPI arbeiten und Software von WebTrends als Dienst unter Windows NT betreiben. Es wird empfohlen, jeweils einen Update auf die neueste Version durchzuführen. Außerdem sollte der Zugriff von 'Everyone: Full Control' auf 'Administrators: Full Control' geändert werden, damit nur noch Administratoren eine Zugriffsmöglichkeit auf die Datei WebTrends.INI haben, in der Paßworte nur leicht verschlüsselt gespeichert sind.
Weitere Informationen über betroffene Produkte finden sich im Advisory.

System:	Alle
Topic:	Neues ISS Summary: ISS, ERS-1999.092

ISS berichtet über 8 Sicherheitslücken in den letzten 2 Wochen:
- webtrends-bad-perms
- hp-visualize-conference-ftp
- accelx-bo
- linux-vmware-buffer-overflows
- iis-double-byte-code-page
- eastman-cleartext-passwords
- msrpc-lsa-lookupnames-dos
- nt-csrss-dos
Weitere Informationen sind auf dem Server von ISS zu finden.

System:	Red Hat Linux
Topic:	Sicherheitslücken in dev, rxvt, screen, XFree86, KDE, nfs-server und net-tools: ESB-1999.082, ESB-1999.083, ESB-1999.084, ESB-1999.087, ESB-1999.088

Hier sind die Meldungen vom Juni 1999, Mai 1999, April 1999 und März 1999 zu finden