^M
^M
|
 |
Letzte Ergänzung: 05. Januar 2000
English Version
|
Die
meisten Links führen direkt auf die
entsprechende Datei beim meldenden CERT bzw.
andere Organisation. Die ständige Aktualität
(speziell welche Gegenmaßnahmen zu ergreifen
oder welche Patches zu installieren sind) ist
damit sichergestellt.
Die meisten nachgeladenen Texte sind auf
englisch.
Übrigens: Wenn für Systeme Risiken
veröffentlicht werden, heißt dieses nicht,
daß die Systeme, für die keine Risiken
veröffentlicht werden automatisch sicherer sind! |
|
| System: |
Lotus
Notes |
| Topic: |
Verschlüsselte
Mail unverschlüsselt
gespeichert: Lotus, ERS-1999.048 |
Im Lotus Notes Client (R4.5
und neuer) ist ein Fehler gefunden
worden, durch den verschlüsselt
empfangene E-Mails unverschlüsselt im
Mail-Eingangsordner des Benutzers
gespeichert werden. Der Fehler tritt
eigentlich nur bei nicht richtig
konfigurierten Notes Clients auf, hat
aber noch weitere Effekte. Bis das
Problem in der nächsten Version behoben
ist, sollten betroffene Benutzer die
Konfiguration des Clients überprüfen.
Damit die E-Mail immer verschlüsselt
gespeichert wird, empfiehlt Lotus, als
Pfad-Separator in der Maildatei
grundsätzlich den Backslash (\) zu
vervenden (im pers. und im öffentlichen
Adreßbuch). Außerdem sollte in den
Benutzer-Voreinstellungen "Encrypt
Saved Mail" ausgewählt werden.
|
|
|
| System: |
SuSE-Linux |
| Topic: |
Sicherheitslücke
in xfree86: SuSE-3 |
XFree86 legt ein temporäres
Verzeichnis .X11-unix für die X Sockets
in /tmp an. Die Rechte für dieses neue
Verzeichnis werden auf 1777 gesetzt. Ein
Angreifer kann einen Symlink mit diesem
Namen anlegen und diesen z.B. auf /root
zeigen lassen. Die Rechte sind auch hier
auf 1777 gesetzt. Daher kann ein
beliebiger lokaler Benutzer im gesamten
System Dateien anlegen.
Es wird empfohlen, ein Upgrade (SuSE 6.0, 5.3) des XF86
durchzuführen, oder als temporären Fix
folgende Zeilen in
/sbin/init.d/boot.local einzufügen:
/bin/rm -rf /tmp/.X11-unix
mkdir -p -m 1777 /tmp/.X11-unix
|
|
|
|
Der Makrovirus Melissa wird
in Form eines E-Mail Attachments
(Word-Dokument) derzeit im Internet
verbreitet. Die entsprechende E-Mail hat
sehr häufig als Subject
Subject: Important Message From
<name>
wobei <name> der volle Name des
Absenders ist.
The Body der Mail ist eine MIME message
mit zwei Abschnitten. Der erste ist
reiner Text (Content-Type: text/plain):
Here is that document you asked for
... don't show anyone else ;-)
Der nächste Abschnitt ist ein
Word-Dokument (Content-Type:
application/msword), das ursprünglich
den Namen "list.doc" hatte,
aber heute auch unter anderen Namen
verteilt wird. Unter bestimmten
Bedingungen generiert der Virus unbemerkt
Attachments an E-Mails, die
Word-Dokumente von der lokalen Platte des
Opferrechners sind.
Weitere Informationen sind im Advisory und unter MS99-002 zu finden.
|
|
|
| System: |
Microsoft
Personal Web Server |
| Topic: |
File
Access Sicherheitslücke
im Personal Web Server: MS99-010, ERS-1999.047 |
Eine Sicherheitslücke
erlaubt grundsätzlich, daß durch die
Eingabe eines speziellen URL's die
Dateizugriffsbeschränkungen durch den
Server umgangen werden können. Hierzu
muß der Benutzer den Namen der Datei
wissen bzw. richtig ragen. Es können
grundsätzlich alle Dateien auf dem
Server gelesen, nicht aber verändert
oder neue Dateien angelegt werden.
Administrative Tätigkeiten sind
ebenfalls nicht möglich. Weitere
Informationen sind in der MS Knowledge
Base zu finden:
Article Q216453, FP98: Security Patch for
FrontPage Personal Web Server.
Article Q217765, FP97: Security Patch for
FrontPage Personal Web Server.
Article Q217763, File Access
Vulnerability in Personal Web Server.
Es wird empfohlen, den von Microsoft
herausgegebenen Patch für den Personal
Web Server 4.0 zu installieren. Bei der
Verwendung einer älteren Version, sollte
vorher ein Upgrade auf den PWS 4.0
durchgeführt werden.
|
|
|
| System: |
HP-UX
11.00 |
| Topic: |
Sicherheitslücke
in ftp: HP Security
Bulletin #00094, ERS-1999.045, J-038 |
Hewlett-Packard hat
herausgefunden, daß während des
normalen Betriebes durch das Programm ftp
normale Benutzer erhöhte Rechte auf der
Maschine bekommen können. Es wird
empfohlen, den entsprechenden Patch
einzuspielen. Ein Rebooten der Maschine
ist nicht notwendig.
| HP9000
Series 700/800, HP-UX 11.00 |
PHCO_17601 |
|
|
|
|
Auf einem System, bei dem
alle Partitionen für normale Benutzer
mit Schreibrechten versehen sind, werden
diese normalerweise mit der Option
`noexec' gemounted. Daher können
Benutzer keine Binärdateienn von dieser
Partition aus starten. Durch eine
ungenügende Überprüfung im
Systemaufruf mount können normale
Benutzer weitere Devices (lokal oder auch
über Netzwerk) unter Umgehung der vom
Administrator gesetzten Optionen mounten
und daher auch Binärdateien ausführen.
Für NetBSD 1.3.3 ist ein entsprechender Patch erschienen.
|
|
|
| System: |
HP-UX
10.20 |
| Topic: |
Sicherheitsrisiko
durch hpterm: HP Security
Bulletin #00093, ERS-1999.042, J-038 |
Im Patch PHSS_13560 ist ein
Fehler beim Zugriff auf Bibliotheken
durch das Programm hpterm über den
Benutzer mehr Rechte als vom
Administrator beabsichtigt erreichen
können. Es wird dringend empfohlen, den
jetzt erschienenen neuen Patch zu
installieren:
| HP9000
Series 700/800, HP-UX 10.20 |
PHSS_17830 |
|
|
|
|
|
|
|
Über das Netzwerk kann ein
Angreifer über Port 7161/tcp eine
Verbindung zum Switch aufbauen und
veranlassen, daß das Supervisor-Modul
des Gerätes neu geladen wird. Während
dieser Zeitdauer leitet der Switch keinen
Datenverkehr weiter. Dieses kann,
besonders wenn dieser Angriff oft
wiederholt wird, einen Denial-of-Service
Angriff gegen an die an den Switch
angeschlossenen Geräte bedeuten. Der
Switch nimmt seine Arbeit nach dem Laden
automatisch wieder auf. Im Advisory sind detaillierte
Informationen über die verschiedenen
betroffenen Versionen veröffentlicht.
Cisco hat Patches
veröffentlicht, die das genannte Problem
beheben.
|
|
|
| System: |
Linux
Slackware 3.6 |
| Topic: |
Sicherheitsrisiko
während der Installation
über Netzwerk: ISS-023, ERS1999-040, |
Während der normalen
Slackware-Installation wird diese
beendet, ohne daß vom System nach einem
Root-Paßwort gefragt wird. Nach der
Installation wird das System neu
gebootet. Nach diesem ersten Booten ist
der Account von Root nicht durch ein
Paßwort geschützt, der inetd ist aktiv
und in der inetd.conf sind telnetd und
rlogind in Betrieb - damit kann jeder
ohne Paßwortabfrage mit
Administrationsrechten auf die Maschine
zugreifen.
Um diese Möglichkeit auszuschließen
sollte direkt nach dem Rebooten für Root
ein gutes Paßwort gesetzt, die genannten
Services ausgeschaltet und der
Root-Zugang über Netzwerk durch
Entfernen der ptty-Einträge in
/etc/securetty ausgeschaltet werden.
Wenn sie für den normalen Betrieb nicht
benötigt werden, wird das Ausschalten
von telnet und ftp in der inetd.conf und
dem Neustart des inetd empfohlen.
Zusätzlich sollten rlogin, rsh und rexec
ebenfalls ausgeschaltet werden.
|
|
|
|
Eine
ungenügende Kernelüberprüfung beim umapfs
(virtuellen) Dateisystem erlaubt lokalen
Benutzern ihre User-ID zu jedem beliebigen
anderen User (inkl. Root) zu mappen.
Für NetBSD 1.3.3 ist ein Patch erschienen, der die
Benutzung von umapfs auf Root beschränkt und
damit dieses Problem vermeidet. Wenn er nicht
installiert werden soll, ist der Workaround, den
Kernel neu zu compilieren. Hierzu sollte in der
Kernelkonfiguration die Zeile
file-system UMAPFS # NULLFS + uid and gid
remapping
entfernt werden. Hilfe zum Compilieren ist hier und hier zu finden.
|
|
|
Von
ISS ist ein Pufferüberlauf im LDAP (Lightweight
Directory Access Protocol) des Microsoft Exchange
Servers entdeckt worden. Mit Hilfe dieses
Protokolles können mit einem LDAP-Client auf die
Verzeichnisse des Servers zugegriffen werden.
Der gefundene Pufferüberlauf wird über
spezielle BIND-Anfragen ausgelöst und erlaubt
die Ausführung beliebigen Codes auf der Maschine
bzw. sorgt dafür, daß der Exchange LDAP Service
abstürzt.
Es wird empfohlen, den von Microsoft
veröffentlichten Patch zu installieren (X86 oder Alpha).
|
|
|
Es
sind zwei voneinander unabhängige
Sicherheitslücken in der Systemsoftware der
Cisco 7xx-Serie (Small-Office und Home-Office
Router) gefunden worden. Sie betreffen nur
Cisco's der Serie 7xx.
Die erste Lücke kann dazu ausgenutzt werden,
daß durch den Aufbau von TCP-Verbindungen zum
Telnet-Port am Router System-Reloads und damit
Denial-of-Service durchgeführt werden können.
Es wird empfohlen, durch das Kommando set ip
filter dafür zu sorgen, daß nur noch von
einem bestimmten Administrationsrechner aus
Verbindungen zum Cisco aufgebaut werden können:
# set ip filter tcp source = not trusted-host
destination = router block
Cisco Router der Serie 7xx mit den
Software-Versionen 3.2(5) und 4.2(3)
unterstützen einen einfachen HTTP-Server. Dieser
Server wird per Default installiert und in
Betrieb genommen. Wenn der Server nicht explizit
ausgeschaltet wird, kann u.U. von außen die
Konfiguration des Routers verändert oder auch
weitere Systeminformationen abgerufen werden.
Dieses ist eigentlich beabsichtigt, aber nicht
alle Administratoren wissen, daß überhaupt ein
HTTP-Server auf dem Router läuft. Daher
empfiehlt es sich, den Server durch das Kommando
# set clickstart off
auszuschalten.
|
|
|
Durch
einen Fehler in der Implementierung des Linux
TCP/IP Stacks ist es Angreifern möglich, ohne
dem Erraten von Sequenznummern in sich gerade
aufbauende oder bestehende TCP-Verbindungen Daten
einzustreuen bzw. Daten vor einem
Verbindungsaufbau an die Applikationsebene zu
schicken.
Kernels unterhalb der Version 2.0.36 sollten
möglichst umgehend durch aktuelle Versionen
ersetzt werden.
|
|
| System: |
IRIX 3.x
- 6.5 |
| Topic: |
Pufferüberlauf
durch X server font path:
SGI19990301, J-033 |
Auf
allen IRIX-Plattformen wird per Default ein
X-Server installiert. Im Font-Path des X-Servers
ist eine Sicherheitslücke gefunden worden, über
die lokale Benutzer Administrationsrechte auf der
Maschine erreichen können. Es wird dringend
empfohlen, die im Advisory genannten Patches zu
installieren.
|
|
|
Der
Screensaver wird durch das Programm winlogon.exe
über den CreateProcess API Call gestartet.
Hierdurch wird das primäre Security Token vom
Screensaver auf das des angemeldeten Benutzers
geändert. Wenn dieses nicht gemacht würde,
liefe der Screensaver unter der Rechten von
winlogon.exe - und damit im System Context.
Winlogon.exe überprüft nicht, ob die Änderung
des primären Tokens auch erfolgreich
durchgeführt wurde. Damit ist nicht
sichergestellt, daß der Screensaver unter den
richtigen Rechten läuft. Unter Umständen kann
durch diese Lücke z.B. auch der momentan
angemeldete Benutzer in die Gruppe der
Administratoren zugeordnet werden. Hier kann eine Demo des
Problems ausprobiert werden.
Microsoft hat verschiedene Hotfixes (für die
US-Version von NT) herausgebracht, die
baldmöglichst installiert werden sollten:
X86-based Windows NT Workstation und Server 4.0 (inkl. Enterprise
Edition), X86-based Windows NT Server 4.0, Terminal Server Edition, Alpha-based Windows NT Workstation und Server 4.0 (inkl. Enterprise Edition
und Terminal Server Edition) sowie Alpha-based
Windows NT Server 4.0, Terminal Server Edition.
|
|
| System: |
HP-UX |
| Topic: |
Sicherheitslücke
im NES3.6 unter VVOS: HP Security Bulletin
#00092, ERS-1999.032 |
Unter
bestimmten Umständen kann es passieren, daß der
Netscape Enterprise Server (NES) Version 3.6
exorbitant viel CPU-Ressourcen benötigt.
Gefunden wurde dieses beim NES, der mit dem
Praesidium VirtualVault A.03.50 gebundled ist.
Folgende Patches sollten eingespielt werden:
| HP-UX
10.24 with VirtualVault US/Canada |
PHSS_17598 |
| HP-UX
10.24 with VirtualVault A.03.50
International |
PHSS_17599 |
|
|
|
Wie
bereits berichtet (HERT-02), ist bei einigen Unix ein
Pufferüberlauf möglich, der direkt zu einer
Kompromittierung des Root-Accounts auf der
Maschine führen kann. Im NetBSD ist alles vor
lsof-4.40 ohne den arg.c-Patch anfällig für
diese Lücke.Es wird empfohlen, das setgid-Bit
durch die Eingabe von chmod 0755
/usr/pkg/sbin/lsof zu entfernen. Zur
richtigen Behebung des Problems sollte die
aktuelle Version von pkgsrc/sysutils/lsof
eingespielt werden.
|
|
|
Wie
bereits im Februar 1999 berichtet wurde, besteht
bezüglich der KnownDLLs ein Sicherheitsrisiko.
Einige weitere Probleme wurden ebenfalls
gefunden. Microsoft empfiehlt, den vorher
genannten Workaround zu entfernen und stattdessen
den für X86-based Windows NT Workstation and
Server 4.0
(incl. Enterprise Edition), X86-based Windows NT Server 4.0,
Terminal Server Edition, Alpha-based Windows NT Workstation and
Server 4.0
(incl. Enterprise Edition und Terminal Server
Edition), Alpha-based Windows NT Server 4.0,
Terminal Server Edition erschienen Hotfix zu installieren.
Bisher ist dieser Hotfix nur für die US-Version
erhältlich, ein Hotfix für die internationalen
Versionen wird folgen.
|
|
|
Mit
dem Aufruf von traceroute(1) mit ungültigen
Argumenten kann die Zeit zwischen dem Aussenden
der einzelnen Pakete auf Null gesetzt werden.
Hierdurch werden in sehr kurzer Zeit viele Pakete
verschickt. Da dieses auch mit gefälschter
IP-Absenderadresse vorgenommen werden kann, ist
die Rückverfolgung eines solchen Flutens mit
Paketen sehr schwierig.
Für NetBSD 1.3.3 ist im Source Code ein Patch herausgegeben worden. Als
temporäre Maßnahme sollte das setuid-Bit durch chmod
u-s /usr/sbin/traceroute entfernt werden.
Dadurch kann nur noch root diesen Befehl nutzen.
|
|
| System: |
OpenBSD
2.4 |
| Topic: |
Sicherheitslücken
in ping und link:
OpenBSD |
In
ping(8) gibt es durch einen Pufferüberlauf eine
Sicherheitslücke, die durch Installation eines Patches geschlossen werden sollte.
Ferner besteht die Möglichkeit, daß die
Maschine abstürzt, wenn mit link(2) auf FFS
"herumgespielt" wird. Auch hier sollte
der entsprechende Patch installiert werden.
|
|
| System: |
Internet
Explorer 4.x |
| Topic: |
IE
ermöglicht Zugriff auf die Zwischenablage:
NTshop |
Wie
von Juan Carlos Garcia Cuartango berichtet wird, existiert
wiederum eine Sicherheitslücke in Verbindung mit
dem IE4 und der Zwischenablage. Um deren Inhalt
sichtbar zu machen, genügt ein kurzes
Java-Script. Der Grund für das Problem liegt im
IE ActiveX-Objekt.
Der Zugang zur Zwischenablage ist gemäß der
Sicherheitsregeln von Microsoft für den IE
verboten, wenn der Inhalt nicht vom IE
hineinkopiert wurde. Wenn ein Script versucht,
Inhalte in eine Textbox einzufügen, gelingt
diese Aktion nur, wenn die Daten vom IE aus in
die Zwischenablage kopiert worden sind. Mit dem
Einsatz eines ActiveX-Objektes kann dieser Schutz
umgangen und, z.B. der Inhalt der Zwischenablage
in eine Input-Box kopiert und mittels POST zu
einer beliebigen Web Adresse geschickt werden.
Cuartango hat eine Demonstration dieser Sicherheitslücke
veröffentlicht. Microsoft kündigt einen Fix
für den nächsten Service Pack des IE4 an.
|
|
|
Die
Risiken im ftpd (CA-99.03) und lsof (HERT-02) können jetzt beseitigt
werden. Es wird empfohlen, die für den wu-ftpd
erschienenen Patches zu installieren: NetBSD 1.3, 1.3.3, 1.3I. Bezüglich des Risikos in
lsof wird empfohlen, das setgid-Bit mittels chmod
0755 /usr/pkg/sbin/lsof zu entfernen. Wie
das Problem durch einen Patch und erneutem
kompilieren von lsof beseitigt werden kann, wird
im Advisory beschrieben.
|
|
| System: |
Unix |
| Topic: |
Einige
Hinweise zu sendmail finden sich
im Unix-Teil auf diesem Server |
|
|
