 |
||||||||||||||
   September 1999, letzte Ergänzung: 04. Januar 2000
|
||||||||||||||
Die meisten Links führen direkt auf die
entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige
Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu
installieren sind) ist damit sichergestellt. |
||||||||||||||
|
||||||||||||||
Cron verschickt Mails an Root ohne die an sendmail übergebenen
Parameter zu überprüfen. Dieses kann dazu führen, daß Benutzer Root-Rechte erhalten.
Ein Pufferüberlauf im INN kann dazu führen, daß Benutzer die Rechte von
"news" erhalten und somit die Konfiguration des INN Servers verändern oder in
den News-Datenbanken Postings und Verzeichnisse ändern können. |
||||||||||||||
|
||||||||||||||
In allen Versionen von NT 4.0 (inkl. Terminal Server) wird der
Remote Access Connection Manager RASMAN.EXE durch einen Security-Descriptor geschützt.
RASMAN.EXE enthält einen Fehler in DACL, durch den unberechtigte Benutzer unter Nutzung
des Service Control Managers Anfragen stellen können. Hierunter fällt z.B. auch die
Möglichkeit, für diesen Service den Ort, Namen oder insgesamt den Code zu verändern.
Hierzu ist ein gültiger Account auf der Maschine notwendig. |
||||||||||||||
|
||||||||||||||
Im ftpd, der mit AIX 4.3.x ausgeliefert wird, ist eine Möglichkeit gefunden worden, durch die Angreifer über das Netzwerk Root-Zugang zur Maschine erhalten können. Code, mit dem das erreicht werden kann, ist veröffentlicht worden. Es wird empfohlen, so bald wie möglich einen temporären Fix zu installieren. |
||||||||||||||
|
||||||||||||||
Der Internet Explorer 5 enthält das Feature "download
behavior", über das vom Web Server aus Scripts geladen werden können, die auf dem
Client ausgeführt werden. Dieses sollte nur dann funktionieren, wenn der Server aus der
gleichen Domain ist. Durch ein Redirect kann diese Einschränkung umgangen werden, daher
können vom Server aus Dateien auf dem Client gelesen werden - lokal oder auch über das
Netzwerk. |
||||||||||||||
|
||||||||||||||
Die mars_nwe Tools sind gegenüber einigen Pufferüberläufen
empfindlich, über die ein Angreifer Root-Rechte auf der Maschine erreichen kann. Patches
sind für Intel-SuSE 5.3,
6.1
und 6.2
verfügbar, SuSE 6.1 on
Alpha ist auch gefixt. |
||||||||||||||
|
|
||||||||||||||
ISS berichtet von 22 neuen Sicherheitslücken: |
||||||||||||||
|
|
||||||||||||||
Ttsession benutzt einen schwachen Authentisirungsmechanismus über RPC, daher können lokale, aber auch Benutzer über das Netzwerk auf der Zielmaschine beliebige Kommandos mit den Rechten, unter dem ttsession läuft, absetzen. Es wird empfohlen, den entsprechenden Patch zu installieren:
|
||||||||||||||
|
|
||||||||||||||
IIS 4.0 bietet die Möglichkeit, daß der Zugriff auf den Server
durch den Namen der Absenderdomain geregelt wird. Wenn der IIS die Absender-IP-Adresse
nicht auflösen kann, ist der erste Verbindungsaufbau zum Server gestattet. Danach
funktioniert der Zugangsschutz. |
||||||||||||||
|
||||||||||||||
Windows NT 4.0 Service Pack 5 führte für dieses System einen Mechanismus ein, mit dem Multi-Homed NT-Maschinen, die als Router eingesetzt werden, das Source-Routing unterbunden werden sollte. Selbst wenn Source-Routing hier ausgeschaltet ist, besteht die Möglichkeit, diesen Schutzmechanismus zu umgehen. Gleiches gilt für Systeme unter Windows 95, 98 und 98SE. Für Windows 9x und NT TSE wird derzeit an einem Patch gearbeitet. Bereits heute steht er für die US-Version von NT Workstation und Server zur Verfügung. |
||||||||||||||
|
||||||||||||||
System, die den Berkeley Automounter Daemon amd einsetzen, bieten Angreifern über das Netzwerk Möglichkeiten, beliebigen Code auf der Maschine mit den Rechten des amd (normalerweise root) auszuführen. Weitere Informationen über betroffene Systeme und die Verfügbarkeit von Patches sind im Advisory ausgeführt. |
||||||||||||||
|
||||||||||||||
Wuftpd, beroftpd und proftpd können optional den stock ftpd auf
einem FreeBSD-System ersetzen. Es sind in den vorher genannten ftpd's verschiedene
Sicherheitslücken gefunden worden, die dazu führen können, daß Externe Root-Rechte auf
der Maschine erhalten können. Der Standard-ftpd, der mit FreeBSD mitgeliefert wird, zeigt
diese Sicherheitslücken nicht. |
||||||||||||||
|
||||||||||||||
Das im Juni neu veröffentlichte pine-Package hatte Fehler im IMAP,
diese sind jetzt korrigiert worden. Patches sind erhältlich für Intel-SuSE 5.3, 6.1 und 6.2. Weitere Patches
können hier heruntergeladen werden. |
||||||||||||||
|
||||||||||||||
Im Paket mars_nwe sind Pufferüberläufe gefunden worden. Da diese
unter Root laufen, besteht die Gefahr, daß Benutzer aufgrund dieser Lücke Root-Rechte
auf der Maschine erhalten. Es wird empfohlen, einen Patch zu installieren: |
||||||||||||||
|
||||||||||||||
Im CDE wurden einige Sicherheitsrisiken gefunden. Hierbei handelt es
sich im einzelnen um |
||||||||||||||
|
||||||||||||||
Der Microsoft Internet Explorer 5 enthält ein Feature, über das Benutzer ihre Favoriten in eine Datei exportieren, aber auch importieren können. Die hierfür genutzte Funktion ist ImportExportFavorites(), die lediglich bestimmte Dateitypen unterstützen sollte. Ebenso sollte nur Zugang zu bestimmten Bereichen der Festplatte bestehen. Durch das Ausnutzen einer Lücke ist es möglich, daß sie von einer Web Site aus aufgerufen wird und Systemkommandos auf der lokalen Maschine aufrufbar sind. Im Prinzip sind hierdurch alle Möglichkeiten, die der Benutzer hat, auch aus der Ferne aus geboten. Es wird empfohlen, das Active Scripting aus Sicherheitsgründen auszuschalten. Wie dieses machbar ist, wird hier beschrieben. |
||||||||||||||
|
||||||||||||||
Bei einer automatischen Windows-Installation bleibt am Ende die Datei Unattend.txt im Verzeichnis system32 stehen. Sie kann u.U. neben den Installationsparametern auch sensitive Daten wie z.B. das Administratorpasswort enthalten. Daher wird empfohlen, diese Datei auf jeden Fall nach der Installation von Hand zu löschen. |
||||||||||||||
|
||||||||||||||
Bei einigen Versionen des Site Servers bzw. Microsoft Commercial Internet Systems (MCIS) werden beim Versand von Cookies keine Flags mit einer Gültigkeitsdauer verschickt. Daher kann diese Seite u.U. von einem Proxy-Server zwischengespeichert werden. Als Folge können verschiedene Benutzer diese Seite mit denselben Cookies angezeigt bekommen, wobei durchaus persönliche Daten über die im Cookie enthaltene GUID sichtbar werden können. Wenn beim Browser keine Cookies benötigt werden, sollte diese Option ausgeschaltet sein. Für Server-Administratoren hat Microsoft einen Hotfix (US-Version) veröffentlicht. |
||||||||||||||
|
||||||||||||||
In der libc wird mit der Umgebungsvariablen LC_MESSAGES, die einen Einfluß auf Messaging-Funktionen hat, gearbeitet. Hier besteht die Gefahr, daß ein Pufferüberlauf provoziert wird und damit ein Benutzer Root-Rechte auf der Maschine bekommt. Die u.a. Patches umfassen einerseits Binaries für die libc, aber auch für ufsrestore und rcp, da diese statisch an libc gelinkt sind. Es wird empfohlen, den entsprechenden Patch zu installieren.
|
||||||||||||||
|
||||||||||||||
In BSD 4.4 sind verschiedene Flags für das Dateisystem eingeführt
worden. Ein lokaler Benutzer kann diese Flags und den Mode für das Device, von dem er
eingeloggt ist, setzen. Durch einen Fehler in login und ähnlichen Programmen kann es dazu
kommen, daß der normale chown-Prozeß nicht funktioniert und der erste Benutzer alle
folgenden Login-Terminals besitzt. Daher können lokale Benutzer Man-in-the-Middle
Angriffe gegen jeden anderen User, auch root, durchführen. |
||||||||||||||
|
||||||||||||||
Aufgrund neu aufgetretener Sicherrheitsprobleme sollten baldmöglichst die in den Advisories genannten Updates installiert werden. |
||||||||||||||
|
||||||||||||||
Durch das Versenden fragmentierter IGMP Pakete an Maschinen unter
Windows 9x oder Windows NT kann der Normalbetrieb dieser Systeme verändert werden.
Vorrangig ist Windows 9x hiervon betroffen, sie können sehr langsam werden oder
abstürzen. NT zeigt ähnliche Effekte, aber aufgrund der Architektur ist ein Angriff
schwieriger durchzuführen. |
||||||||||||||
|
||||||||||||||
Der Telnet-Client, der bei Windows 9x enthalten ist, hat eine Sicherheitslücke. Da die Übergabe von Argumenten beim Aufruf nicht in genügender Weise überprüft wird, besteht hier das Risiko, daß er von einer Web Site aus mit ungültigen Übergabeparametern aufgerufen und als Folge beliebiger Code auf dem Windows-Rechner ausgeführt wird. Hier handelt es sich um klassische Pufferüberlauf-Techniken. Es wird empfohlen, den für Windows 95 und Windows 98 (auch Second Edition) veröffentlichten Hotfix zu installieren. |
||||||||||||||
|
||||||||||||||
Seit dem letzten Summary sind folgende Tendenzen feststellbar: |
||||||||||||||
|
||||||||||||||
Für alle Red Hat Linux Plattformen sind Patches erschienen, die aus
Sicherheitsgründen installiert werden sollten. Die neueste Version von XFree86 ist hier zu finden. |
||||||||||||||
|
||||||||||||||
Durch eine neue Art von Denial-of-Service Angriffen wird beim DNS die unterschiedliche Größe von Anfrage- und Antwortpaketen sowie die Offenheit der meisten DNS-Server ausgenutzt. Letztere beruht darauf, daß Antworten von jedem Absender akzeptiert werden. Jeder an das Internet angeschlossene Nameserver kann Ziel dieses Angriffes sein. Durch ihn wird speziell sämtliche Bandbreite durch DNS-Anfragen und u.U. auch ICMP Port unrechable Meldungen sowie den Antworten belegt. Der DNS Server sollte sicher aufgesetzt sein, damit der DoS-Angriff nicht zum Erfolg führen kann. Wie dieses bewerkstelligbar ist, zeigt das Advisory. |
||||||||||||||
|
||||||||||||||
In den ActiveX Controls Scriptlet.typlib and Eyedog wurden
Sicherheitslücken gefunden. Die genannten Controls sind unabhängig voneinander, sie sind
beide aber als "safe for scripting" gekennzeichnet und können demzufolge vom
Internet Explorer geladen werden. |
||||||||||||||
|
||||||||||||||
Durch einen Pufferüberlauf besteht eine Sicherheitslücke im CDE Calendar Manager Service Daemon, rpc.cmsd. Dadurch können alle Benutzer beliebigen Code auf der Maschine ausführen und damit auch Root-Rechte erreichen. Patches sind verfügbar, Version 10.30 ist ebenfalls betroffen, aber ein Patch hierfür wird nicht mehr herausgegeben.
|
||||||||||||||
|
||||||||||||||
Hier sind die Meldungen vom August 1999, Juli 1999, Juni 1999, Mai 1999, April 1999 und März 1999 zu finden |
