AERAsec - Network Security - Aktuelle Meldungen Oktober 1999

Oktober 1999, letzte Ergänzung: 04. Januar 2000

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt.
Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

System:	Debian Linux
Topic:	Sicherheitslücken in NIS, mirror, lpr und amd: Debian1027, Debian1018, Debian1030, Debian1018a

Wie auch für SuSE-Linux sind bei Debian Sicherheitslücken in den Yellow Pages (NIS) vorhanden, über die normale Benutzer zu viele Rechte haben können. Mit mirror kann auch bei dieser Distribution außerhalb des erlaubten Bereiches auf dem Ziel-FTP Server geschrieben werden. Lpr ermöglicht z.B. Benutzern, Dateien, die sie nicht lesen dürfen, auszudrucken und der AMD sorgt dafür, daß Benuter eine Hintertür finden können. Weitere Informationen finden sich in den Advisories.

System:	SuSE Linux
Topic:	Sicherheitslücken in mirror, sccw, mutt, cdwtools, ypserv und lpr/lpd: SUSE022, SUSE023, SUSE024, SUSE025, SUSE026, SUSE027

Das mirror-Paket ist ein Tool mit dem Inhalte von FTP-Servern dupliziert werden können. Es wird derzeit nicht überprüft, ob das Zeichen ".." im Namen des auf dem Zielserver anzulegenden Verzeichnis vorhanden ist. Daher können prinzipiell auch in anderen darüberliegenden Verzeichnissen Schreibzugriffe erfolgen.
sccw zeigt eine ungenügende Bereichsüberprüfung, vertraut der Umgebung und ruft unsichere Systemfunktionen auf. Bei einer Default-Installation ist sccw mit setuid root versehen. Daher kann es zum Kompromittieren des Root-Accounts kommen.
Durch das Senden einer speziellen E-Mail können Angreifer Programme mit den Rechten des Prozesses mutt ausführen. Der Benutzeraccount, unter dem dieser Prozeß läuft, ist damit kompromittiert.
Das Paket cdwtools ist ein Frontend zur Erstellung von CD's. Hier sind einige Pufferüberläufe und Unsicherheiten im /tmp-Verzeichnis festgestellt worden. Überall, wo die cwdtools mit "easy" Sicherheitseinrichtung installiert sind (=Default) besteht das Risiko, daß hierdurch der Root-Account kompromittiert wird.
ypserv sind die früheren "yellow pages", jetzt NIS Information Service gennant, mit denen z.B. die Benutzerverwaltung im Netzwerk zentralisiert werden kann. Hier existieren auch unter SuSE einige Sicherheitslücken, die dazu führen können, daß Unberechtigte beliebigen Code, u.U. auch als Root, ausführen können.
Von lpr und lpd werden die Datei-Zugriffsrechte nicht in allen Fällen sauber beachtet. Durch diese Race-Condition können Benutzer Dateien ausdrucken, für die sie keinerlei Rechte haben.
Es wird dringend empfohlen, die Systeme entsprechend auf den Stand der Technik zu bringen, damit die o.g. Exploits nicht mehr möglich sind. Die Patches sind auf SuSE's Webpage for Patches zu finden.

System:	Microsoft Windows NT 4.0
Topic:	Sicherheitslücke durch vorhersagbare TCP Initial Sequence Nummern: MS99-046, ERS-1999.162, K-006

Die beim Verbindungsaufbau ausgewählten Sequenznummern (ISN) sollten so zufällig wie möglich ausgewählt werden, damit Angriffe wie IP Spoofing oder Session Hijacking erschwert sind. Microsoft hat den Zufallsgenerator für Systeme unter allen Versionen von Windows NT 4.0 überarbeitet, 15 weitere Zufallsbit sind hinzugekommen. Es wird empfohlen, den (US-) Patch für x86 bzw. Alpha zu installieren.

System:	Microsoft VM, IE
Topic:	Sicherheitslücke durch Virtual Machine Verifier: MS99-045, ERS-1999.161, K-005

Die Microsoft Virtual Machine wird mit verschiedenen Produkten ausgeliefert. Vorrangig gilt dieses für den Internet Explorer, der in der 2000er Serie kommt, aber auch der IE 5 mit der 3000er Serie. In beiden Serien ist eine Möglichkeit gefunden worden, mit einem Java Applet aus der Virtual Machine direkt auf die Maschine herauszugreifen. Dies bedeutet, wenn es sich auf eine Web Site befindet, daß auf dem Rechner alle Aktivitäten mit den Rechten des Benutzers durchführbar sind. Dies umfaßt auch das Anlegen, Modifizieren oder Löschen von Dateien und geht bis hin zum Formatieren der Festplatte.
Es wird dringend empfohlen, entweder Java auszuschalten oder den Patch für die 3000er Serie zu installieren. Ein Patch für die 2000er Serie wird folgen.

System:	Red Hat Linux
Topic:	Sicherheitsrisiken in Screen und wu-ftpd: RH1999-042, RH1999-043, ERS-1999.159, ERS-1999.160

System:	Alle
Topic:	Neues ISS-Summary: ISS, ERS-1999.158

ISS berichtet über 14 Sicherheitslücken:
- http-teamtrack-file-read
- iams-passwords-plaintext
- iams-pop3-command-dos
- iams-smtp-vrfy-dos
- linux-cdda2cdr
- ie-download-behavior
- mediahouse-stats-adminpw-cleartext
- mediahouse-stats-login-bo
- ihtml-merchant-file-access
- yahoo-messenger-dos
- iis-ftp-no-access-files
- nt-ip-source-route
- nt-rasman-pathname
- http-cgi-wwwboard-default
Weitere Informationen sind vom Server von ISS abrufbar.

System:	HP-UX
Topic:	Sicherheitslücke in automountd: HP Security Bulletin #00104, ERS-1999.157, S-99-45

Dieses Problem wurde ursprünglich vom CERT berichtet. Durch eine Sicherheitslücke im automountd können Angreifer beliebige Kommandos mit den Rechten des automountd Prozesses absetzen. Hewlett Packard hat jetzt herausgefunden, daß entgegen der ursprünglichen Annahme HP-UX 10.X und 11.00 gegenüber dieser Lücke anfällig sind. Ein Patch ist derzeit noch nicht verfügbar.
Als Workaround wird empfohlen, in der Datei /etc/rc.config.d/nfsconf AutoFS = 0 zu setzen.

System:	Microsoft Excel 97 und 2000
Topic:	Sicherheitsrisiko durch Excel SYLK: MS99-044, ERS-1999.156, K-004

In Symbolic Link (SYLK) Dateien können Makros enthalten sein. Wenn eine solche Datei in Excel 97 oder 2000 geöffnet wird, werden diese Makros ohne Rückfrage beim Benutzer ausgeführt. Sie laufen mit den Benutzerrechten ab, haben also im schlimmsten Fall vollen Zugriff auf die Maschine.
Es wird empfohlen, den entsprechenden Patch für Excel 97 bzw. Excel 2000 zu installieren.

System:	viele Unix
Topic:	Verschiedene Sicherheitslücken im WU-FTPD: CA-99-13, ERS-1999.155, S-99-44

Systeme, auf denen der WU-FTPD Daemon oder ein darauf basierender FTP Server betrieben wird, zeigen drei neue Sicherheitsrisiken:
- MAPPING_CHDIR Buffer Overflow: Aufgrund mangelnder Bererichsüberprüfung kann es Angreifern u.U. gelingen, den statischen Speicher des WU-FTPD zu überschreiben.
- Message File Buffer Overflow: Aufgrund mangelnder Bereichsüberprüfung bei Makrovariablen im Message-File können Angreifer u.U. den Stack des WU-FTPD Daemons überschreiben.
- SITE NEWER Consumes Memory: Lokal, aber auch über das Netzwerk können Benutzer, die Verbindungen zum FTP Daemon aufbauen können, ihn dazu bringen, daß er sehr viel Speicher benötigt und damit auf der Maschine nicht mehr normal läuft. Wenn das Anlegen von Dateien auf dem Server gestattet ist, kann diese Sicherheitslücke dazu genutzt werden, beliebigen Code unter den Rechten des FTP-Servers (normalerweise root) auf der Maschine auszuführen.
Es wird empfohlen, die entsprechenden und im Advisory genannten Patches zu installieren.

System:	Microsoft Internet Explorer 4.01 und 5
Topic:	Sicherheitsrisiko durch JavaScript: MS99-043, ERS-1999.154

Lokale Daten, die im Browser angezeigt werden, können durch ein JavaScript Applet, das im gleichen Fenster läuft, zu einem Web Server umgeleitet werden, ohne daß der Benutzer etwas merkt. Hierdurch greifen die Sicherheitsmaßnahmen im IE nicht mehr. Durch das Applet können Daten zum Server geschickt werden, wenn der Angreifer den Namen und die Lage der Datei im Verzeichnisbaum kennt.
Bis Microsoft einen Patch herausgebracht hat, wird dringend empfohlen, zumindest in der Internet-Zone JavaScript zu deaktivieren.

System:	Red Hat Linux
Topic:	Neue Version von Netscape und Sicherheitslücken in PAM sowie lpr/lpd: RH1999-039, RH1999-040, RH1999-041, ERS-1999.152, ERS-1999.153

System:	Microsoft IE 5
Topic:	Sicherheitslücke im IFRAME ExecCommand: MS99-042, ERS-1999.151

Das Sicherheitsmodell des Internet Explorers 5 verhindert im Normalfall, daß durch die Methode Document.ExecCommand() auf dem Client unerlaubte Aktionen durchführbar sind. Wird diese Methode in einem IFRAME durchgeführt, greifen die Schutzmechanismen nicht. Daher sind von einem Web-Server aus bekannte Dateien auf dem PC des Bentuzers lesbar. Weitere Möglichkeiten sind allerdings nicht gegeben.
Benutzer des (US-) Internet Explorers 4.01 sollten den IE 4.01 Service Pack 2, Benutzer des IE5 sollten den Patch für die Intel- oder Alpha-Plattform installieren.
Bis zum Erscheinen einer deutschen Version wird diesen Benutzern dringend empfohlen, zumindest in der Internet-Zone Active Scripting zu deaktivieren.

System:	Microsoft Office
Topic:	Patch gegen die Risiken durch ODBC erschienen: MS99-030

Microsoft hat gegen die bereits berichteten Lücken in ODBC jetzt einen Patch veröffentlicht.

System:	Hybrid Network's Cable-Modems
Topic:	Sicherheitsrisiken durch HSMP: KSRT-012

Hybrid Network's Cable-Modems können über das udp-basierte Protokoll HSMP konfiguriert werden. In diesem Protokoll ist keine Authentisierung zur Durchführung der Konfiguration vorgesehen. Udp-basierte Protokolle sind leicht zu fälschen, daher ist die anonyme Durchführung einer Konfiguration durchaus möglich. Einige Denial-of-Service Angriffe sind bekannt. HSMP kann von Cable-Modem Benutzern auch zur Konfiguration von DNS-Servern eingesetzt werden. Hierdurch können Angreifer die Benutzer zu beliebigen Sites umleiten oder auch Angreifern die Möglichkeit gegeben werden, Ethernet-Sniffer auf Interfaces einzubauen.
Im Advisory sind Links zu finden, die das Problem demonstrieren. Es wird empfohlen, HSMP-Verkehr (Port 777/udp) durch eine Firewall zu sperren.

System:	Cactus Software
Topic:	Sicherheitsrisiko durch shell-lock: l0pht, ERS-1999.150

Mit dem Program "shell-lock" können ELF Binaries aus Shell-Skripten erzeugt werden. Hierzu wird ein trivialer Verschleierungsmechanismus eingesetzt, der entsprechend das Skript in einem Binary "verstecken" soll. Jeder, der die Datei lesen kann, ist in der Lage, dieses zu dekodieren und sich entsprechend das Original-Skript anzusehen. Durch eine weitere Sicherheitslücke besteht sogar die Möglicheit, den Code ohne Entschlüsselungsaufwand im Original zu erhalten. Im Advisory wird auf folgendes hingewiesen: Do not take candy or accept car rides from strangers. If something seems too good to be true it probably is. Es wird empfohlen, den notwendigen Code in C oder einer anderen Sprache, aber nicht in Shell-Skripten zu schreiben.

System:	Debian Linux
Topic:	Sicherheitslücke in amd: Debian0924

Die mit Debian GNU/Linux 2.1 ausgelieferte Version von amd ist gegenüber Angriffen aus dem Netzwerk empfindlich. Wird ein langer Verzeichnisname in das Log des amd geschrieben, führt dieses zu einem Pufferüberlauf, der entsprechend ausgenutzt werden kann. In Version 23.0slink1 ist dieser Fehler behoben. Weitere Informationen finden sich im Advisory.

Hier sind die Meldungen vom September 1999, August 1999, Juli 1999, Juni 1999, Mai 1999, April 1999 und März 1999 zu finden