Network Security

AERAsec
Network Security
Aktuelle Sicherheitsmeldungen


Die meisten Links führen direkt auf die entsprechende Datei der meldenden Organisation, damit Sie die Original-Meldung ebenfalls lesen können. Die Meldungen sind meist auf Englisch.

Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Sie setzen eine Firewall von Check Point ein?!

Sie suchen einen kompetenten Partner,
der Ihnen bei der Migration auf Check Point R7x die notwendigen Hinweise gibt
und Ihnen beim Upgrade hilft?
Jemanden, der Sie beim täglichen Umgang mit Check Point R70 bis R77
tatkräftig unterstützt?

Unser Support-Team steht Ihnen gerne jederzeit zur Seite.
Erfahren. Zertifiziert. Engagiert.
Ihre Fragen beantworten wir gerne!

Das Standardwerk zur Check Point NGX

Hier finden Sie unsere Suchmaschine zur Netzwerk-Sicherheit!


Sie übermitteln u.a. folgende Informationen:

Ihr Browser

CCBot/2.0 (http://commoncrawl.org/faq/)

Ihre Absenderadresse

ec2-54-205-52-110.compute-1.amazonaws.com [54.205.52.110]

Ihr Referer

(gefiltert oder nicht vorhanden)

Aktueller Monat, Letzter Monat, Letzte 10 Meldungen, Letzte 20 Meldungen (nur Index)

Ausgewählt wurde Monat 07 / 2001

System: MIT krb5
Topic: Sicherheitslücke in Telnet Daemon
Links: MIT, ERS-2001:300, L-128, S-01-76
ID: ae-200107-067

MIT Kerberos 5 wird ebenfalls mit einem Telnet Daemon ausgeliefert, der von der originalen BSD-Version übernommen wurde. Dieser Daemon läuft mit SUID und kann von jedem Benutzer ausgeführt werden. Durch einen Pufferüberlauf besteht für Angreifer (lokal oder über das Netzwerk) die Möglichkeit, sich Root-Rechte auf dem System zu verschaffen. Ein Patch steht zur Verfügung.

System: IBM AIX
Topic: Sicherheitslücke in Telnet Daemon
Links: ERS-2001:298
ID: ae-200107-066

AIX wird mit einem Telnet Daemon ausgeliefert, der von der originalen BSD-Version übernommen wurde. Dieser Daemon läuft mit SUID und kann von jedem Benutzer ausgeführt werden. Durch einen Pufferüberlauf besteht für Angreifer (lokal oder über das Netzwerk) die Möglichkeit, sich Root-Rechte auf dem System zu verschaffen. Ein Patch steht zur Verfügung.

System: FreeBSD
Topic: Sicherheitslücke in OpenSSL
Links: FreeBSD-SA-01:51, ERS-2001:299, L-124
ID: ae-200107-065

FreeBSD enthält auch Software des OpenSSL-Projektes. Im Zufallszahlengenerator (PRNG) von OpenSSL vor Version 0.9.6b besteht ein Fehler, so dass ein Angreifer die Ausgaben möglicherweise erraten kann. Daher ist die Sicherheit der verwendeten Verschlüsselung nicht mehr genügend gewährleistet. Ein Patch steht jetzt zur Verfügung.

System: OpenBSD
Topic: Sicherheitslücke in NFS Mount
Links: OpenBSD
ID: ae-200107-064

Im Code von NFS Mount wurde die Möglichkeit zu einem Pufferüberlauf im Kernel gefunden. Ein Angreifer, der auf der lokalen Maschine Mount-Rechte hat, kann dadurch beliebige Kommandos im Kernel-Mode ausführen. Ein Source-Code Patch steht zur Verfügung.

System: Microsoft Windows IIS & Cisco
Topic: Warnung vor Mutationen des Wurms CODE RED
Links: Microsoft E-Mail, ISS-089
ID: ae-200107-063

Microsoft und Internet Security Systems warnen nochmals eindringlich per E-Mail vor dem Wurm Code Red, von dem es inzwischen einige Mutationen zu geben scheint. Anfällig gegenüber den Lücken, die der Wurm ausnutzt, ist der Microsoft Internet Information Server 4.x und 5.x. Nach Microsoft infizierte der Wurm am 19.7. innerhalb von 9 Stunden über 250.000 Systeme. Eine neue Welle scheint am 31.07.2001 um 08:00 PM EDT bzw. am 01.08. um 12:00 europäischer Sommerzeit zu kommen - hier greift der "Zeitzünder" des Wurms. Sofern Sie einen Microsoft IIS einsetzen, stellen Sie bitte sicher, dass Sie den Patch für Windows NT bzw. Windows 2000 installiert haben. Eine nähere Beschreibung der Patches bzw. der Lücke ist auch in MS01-033 zu finden. Außerdem hat Microsoft eine Anleitung für die Installation des Patches herausgegeben.
Eine ausführliche Beschreibung des Wurms und weitere wichtige Dinge finden sich im Advisory von ISS.

System: Debian Linux
Topic: Sicherheitslücke in Apache/Apache-SSL
Links: DSA-067
ID: ae-200107-062

Die in der Bugtraq-Liste diskutierte Lücke 'artificially long slash path directory listing vulnerability' betrifft auch Apache-Server unter Debian Linux. Für einen Angreifer ist es möglich, durch Tricks mehr Informationen als vom Administrator beabsichtigt abzurufen, was auch dazu führen kann, dass ein System kompromittiert wird. Hiervon sind alle Apache-Server vor Version 1.3.19 betroffen. Die Lücke ist im Debian apache-ssl 1.3.9-13.3 und apache_1.3.9-14 geschlossen.

System: FreeBSD
Topic: Sicherheitslücke in windowmaker
Links: FreeBSD-SA-01:50, ERS-2001:296
ID: ae-200107-061

Windowmaker ist für X11 ein GNUstep-kompatibler Window-Manager, der das NeXTSTEP-Interface emuliert. Hier wurde ein Pufferüberlauf gefunden, der dann auftritt, wenn im Fenster-Menü sehr lange Namen von Fenstern angezeigt werden. Programme wie z.B. Web-Browser übernehemen aus den Tags des HTML-Code den Namen des Fensters, so dass hier Angreifer mit "speziellen Seiten" den Windowmaker zum Absturz bringen und eventuell auch beliebigen Code ausführen können. Ein Patch steht jetzt zur Verfügung.

System: Compaq Tru64/UNIX - OpenVMS
Topic: Keine Sicherheitslücke im telnetd
Links: ERS-2001:293
ID: ae-200107-060

TESO und CERT/CC berichteten über eine Sicherheitslücke im telnetd BSD-basierter Unix. Compaq betont, dass seine Systeme gegenüber dieser auch über das Netzwerk ausnutzbaren Sicherheitslücke nicht empfindlich sind.

System: Caldera SCO Unix
Topic: Sicherheitslücke in Popper
Links: ERS-2001:293
ID: ae-200107-059

Im Popper-Daemon wurde ein Pufferüberlauf gefunden, der von Angreifern ausnutzbar ist. Patches stehen jetzt zur Verfügung.

System: Microsoft Windows NT/2000 / Cisco
Topic: Varianten des Wurms Code Red
Links: CA-2001-23, S-01-72
ID: ae-200107-058

Der Code Red Wurm ist nicht nur für Systeme unter Microsoft Windows gefhährlich, sondern auch für einige Produkte von Cisco, bei denen der IIS eingesetzt wird. Das CERT/CC weist darauf hin, dass die Gefahr durch diesen Wurm noch lange nicht vorüber sein wird. Es wurden auf den insgesamt im Internet ca. 280.000 infizierten Systemen auch Varianten des Wurms gefunden.
CERT/CC und andere Reports glauben, dass es am 01. August 2001, 0:00 Uhr GMT zu einer neuen Welle von Infektionen kommen wird. Daher ist es sehr wichtig, dass der Microsoft Internet Information Server bis spätestens zu diesem Datum mit den entsprechenden Fixes versehen wird. Außerdem empfiehlt sich dringend der Schutz durch eine Firewall mit einem guten Regelsatz.
Weitere Informationen finden sich im Advisory.

System: SuSE Linux
Topic: Sicherheitslücken in xli und openssl
Links: SuSE
ID: ae-200107-057

In xli wurde ein Pufferüberlauf entdeckt. Auch SuSE Linux ist von der Lücke mit dem Zufallszahlengenerator PRNG in OpenSSL betroffen. Patches stehen jetzt zur Verfügung.

System: Microsoft Windows Media Player
Topic: Sicherheitsrisiko durch Pufferüberlauf
Links: MS01-042, ERS-2001:295, WinITSec
ID: ae-200107-056

Im Media Player wurde eine Lücke gefunden,die darauf basiert, dass eingelesene Dateien vom Typ .NSC nicht genügend überprüft werden. Ein hierdurch provozierter Pufferüberlauf bietet Angreifern die Möglichkeit, beliebigen Code auf diesem System auszuführen. Der Pufferüberlauf ist zwar eigentlich nur lokal auszunutzen, aber wenn der Benutzer "überzeugt" wird, sich eine Datei aus dem Netz herunterzuladen, ist die Lücke da. Gleiches gilt auch für die Nutzung des Web. Microsoft hat einen Patch veröffentlicht, der allerdings zwingend vorher ein Update auf den Media Player 7.1 erfordert.

System: Microsoft Windows NT/2000, Exchange Server, SQL Server
Topic: Denial-of-Service durch ungültige Remote Procedure Calls
Links: MS01-041, ERS-2001:292, WinITSec, L-126, S-01-74
ID: ae-200107-055

Verschiedene RPC-Server innerhalb von Microsoft Exchange, SQL Server, Windows NT 4.0 und Windows 2000 führen die Eingabeüberprüfung nicht gründlich genug durch. Daher kann es passieren, dass diese Server bei "speziellen" Paketen von Angreifern nicht mehr ansprechbar sind. Microsoft hat Patches herausgegeben für Exchange Server 5.5, Exchange Server 2000 (im Service Pack 1 enthalten), SQL Server 7.0 (im Service Pack 3 enthalten) und SQL Server 2000 (im Service Pack 1 enthalten). Der Patch für NT 4.0 Workstation ist im Security Roll-up enthalten, der Patch für den NT 4.0 Terminal Server wird demnächst veröffentlicht. Der Patch für Windows 2000 steht ebenfalls zur Verfügung.

System: Trustix Secure Linux
Topic: Sicherheitslücke in PHPLib
Links: TSL-2001-0014, ERS-2001:291
ID: ae-200107-054

Eine Lücke in PHPLib gestattet die Ausführung auch von Code, der von einem anderen Server geladen wurde, ohne dass der Benutzer dieses merkt. Ein Patch steht zur Verfügung.

System: Conectiva Linux
Topic: Sicherheitslücke im IMP Webmailsystem
Links: ERS-2001:288
ID: ae-200107-053

Imp ist ein Webmailsystem, das die Umgebung von "horde" nutzt. Insgesamt wurden drei Lücken gefunden, die über das Netzwerk ausnutzbar sind. So kann ein Angreifer z.B. den Server so austricksen, dass er sich von einem anderen Server Skripten holt und sie ausführt. Durch das Lesen von E-Mail kann möglicherweise schädliches Java Skript ausgeführt werden. Außerdem ist die Datei "prefs.lang" lesbar und wird als PHP-Code interpretiert. Diesen kann der Angreifer z.B. mit einer Mail (vorherige Lücke) auf dem System anlegen. Eine neue Version, die diese Lücken behebt, ist veröffentlicht worden.

System: NetBSD
Topic: Sicherheitslücken in Vulnerabilities in ptrace, sshd, sendmsg und telnetd
Links: SA2001-009, SA2001-010, SA2001-011, SA2001-012, ERS-2001:281, ERS-2001:282, ERS-2001:283
ID: ae-200107-052

Eine Race-Condition zwischen sugid-exec und ptrace kann es lokalen Benutzern erlauben, Programme mit setuid-root als Root auszuführen. Eine Lücke in der Art, wie sshd mit "cookies" umgehet, bietet lokalen Benutzern die Möglichkeit, diese Dateien mit Root-Rechten zu löschen. Durch eine ungenügene Längenüberprüfung im Kernel besteht das Risiko, dass ein lokaler Benutzer einen Kernel-Trap oder eine Kernel-Panic auslöst. Ein Pufferüberlauf im telnetd birgt das Risiko, dass von Clients aus über das Netzwerk beliebiger Code mit den Rechten von telnetd (normalerweise Root) ausführbar ist.
Patches stehen jetzt zur Verfügung.

System: SGI IRIX
Topic: Sicherheitsrisiko in netprint
Links: SGI-20010701-01, ERS-2001:286, L-125, S-01-75
ID: ae-200107-051

Das Programm /usr/lib/print/netprint wird per Default bei Systemen unter SGI IRIX installiert. Es zeigt eine Lücke, wenn offene lp-Accounts konfiguriert sind. Über diese Lücke können lokale Benutzer Root-Rechte erreichen. Ein Patch steht zur Verfügung.

System: Microsoft Windows 2000, NT Terminal Server
Topic: Denial-of-Service durch ungültige RDP-Daten
Links: MS01-040, ERS-2001:290, WinITSec
ID: ae-200107-050

Der Windows 2000 Terminal Service und Windows NT 4.0 Terminal Server Edition enthält ein Leck im Speicher. Begründet ist dieses durch die Funktionen, die eingehende Pakete über das Remote Data Protocol über Port 3389 bearbeiten. Sofern in diesen Paketen "spezieller" Code enthalten ist, wird nach dem Abarbeiten nicht aller Speicher wieder freigegeben. Durch das Senden sehr vieler solcher Pakete hat ein Angreifer die Möglichkeit dafür zu sorgen, dass dem Terminal Server nicht mehr genügend Speicher zur Verfügung steht. Dieser Denial-of-Service kann im Endeffekt nur durch einen Reboot beendet werden.
Patches stehen für Microsoft Windows NT 4.0 Terminal Server Edition und Microsoft Windows 2000 zur Verfügung.

System: Linux Mandrake
Topic: Sicherheitslücken in Squid und elm
Links: MDKSA-2001-066, MDKSA-2001-067, ERS-2001:289, ERS-2001:287
ID: ae-200107-049

Der Squid Proxy-Server zeigt ein Problem mit dem Mode httpd_accel. Sofern http_accel_with_proxy ausgeschaltet ist, ist jede Anfrage an Squid gestattet. Dieses kann von Angreifern dazu genutzt werden, über diesen Proxy andere Systeme zu scannen oder weitere Aktionen durchzuführen.
In Elm wurde die Möglichkeit zu einem Pufferüberlauf gefunden, weil dieser E-Mail Client sehr lange Message-ID's nicht richtig verarbeitet. Als Folge können andere Felder im Header überschrieben werden oder weiterer Schaden entstehen.
Patches stehen jetzt zur Verfügung.

System: Microsoft Windows NT/2000
Topic: Denial-of-Service in Services for Unix 2.0 Telnet und NFS Services
Links: MS01-039, WinITSec, ERS-2001:284
ID: ae-200107-048

Bei den Services für Unix (SFU) 2.0 sind auch Services enthalten, die Telnet und NFS bieten. Beide Services enthalten ein Leck im Speicher, das durch Benutzer auslösbar ist. Ein Angreifer, der dieses laufend macht, kann damit sämtlichen Speicher im Kernel belegen lassen - und damit schließlich für einen Denial-of-Service sorgen. Microsoft hat Patches für Windows NT und 2000 veröffentlicht: NFS-Patch für Windows NT 4.0 und Windows 2000 sowie einen Telnet-Patch für Windows NT 4.0 und Windows 2000. Im Interesse der Betriebssicherheit sollten beide Patches eingespielt sein, sofern diese Dienste genutzt werden.

System: BSD-basierte Unix
Topic: Sicherheitslücke im Telnet Daemon
Links: TESO, CA-2001-21 FreeBSD-SA-01:49, ERS-2001:280, L-124, ERS-2001:285
ID: ae-200107-047

Im telnetd wurde ein Pufferüberlauf gefunden. Aufgrund ungenügender Bereichsüberprüfungen zur Ausgabe an den Client besteht für Angreifer die Möglichkeit, den telnetd durch einen Pufferüberlauf abstürzen oder beliebigen Code mit seinen Rechten ausführen zu lassen. Diese Rechte sind normalerweise Root-Rechte. Die Sicherheitslücke besteht auch über das Netzwerk, ein Login bei der Maschine ist nicht notnwedig. Ein Workaround und Patch für BSDI und FreeBSD veröffentlicht und sollte baldmöglichst installiert sein, da diese Lücke von überall her ausnutzbar ist. Andere Hersteller wie Hewlett Packard und Sun Microsystems führen derzeit Untersuchungen durch.

System: Viele
Topic: Sicherheitslücke in SSH 3.0.0
Links: ERS-2001:279, ISS-088, L-121
ID: ae-200107-046

Ein Root-Exploit, der auch über das Netzwerk auszunutzen ist, wurden in der SSH Secure Shell 3.0.0 für Unix gefunden. Die Lücke besteht, sofern Passworte mit einer Länge von zwei oder weniger Zeichen eingesetzt werden. Unberechtigte können möglicherweise den Login mit einem beliebigen Passwort (auch einem leeren Password) erreichen. Es handelt sich hierbei um einen Fehler im sshd1 Daemon, die Client-Programme sind davon nicht betroffen. Version 3.0.1 behebt dieses Problem.

System: Red Hat Linux
Topic: Sicherheitsrisiko in OpenSSL
Links: RHSA-2001-051, ERS-2001:274
ID: ae-200107-045

Neben anderen, schon vor einiger Zeit gemeldeten Sicherheitslücken in OpenSSL wurde jetzt auch von Red Hat ein Patch zur Behebung eines Fehlers im Pseudo-Zufallszahlengenerator PRNG herausgegeben. Dieser Fehler ist in allen Versionen von OpenSSL vor 0.9.6b vorhanden.

System: Red Hat Linux
Topic: Sicherheitsrisiko in Squid
Links: RHSA-2001-097, ERS-2001:276
ID: ae-200107-044

Das bei Red Hat Linux 7.0 enthaltene Squid-Paket zeigt eine mögliche Sicherheitslücke. Sofern der Proxy im Accelerator-Only Mode betrieben wird, besteht für Benutzer die Möglichkeit, über das Netzewrk Portscans durch den Squid-Proxy zu tätigen - obwohl dieses vom Administrator eigentlich gar nicht vorgesehen ist. Ein Patch steht zur Verfügung. Hinweis: Nur Red Hat Linux 7.0 ist von dieser Lücke betroffen.

System: SuSE Linux
Topic: Sicherheitslücken in pmake, openssl, jakarta und openldap
Links: SuSE
ID: ae-200107-043

Eine Format-String Lücke und Pufferüberläufe sind der Grund für Probleme mit pmake. Die bereits genannten Probleme mit dem PRNG von openssl betreffen auch Installationen von SuSE Linux. Einige "Cross Site Scripting"-Möglichkeiten wurden genauso nachgewiesen wie die bereits vom US-CERT/CC genannten Probleme mit LDAP. Für alle genannten Lücken stehen Patches zur Verfügung.

System: Microsoft Windows
Topic: Neuer Wurm SirCam
Links: ERS-2001:005i, CA-2001-22, S-01-71
ID: ae-200107-042

Wie auch von vielen Herstellern von AntiVirus Software berichtet, breitet sich der Wurm SirCam derzeit im Internet schnell über E-Mail aus. Diese E-Mail hat ein mehr oder weniger zufälliges Betreff und ein Attachment von ca. 130kB. Einmal ausgeführt, installiert sich der Wurm auf dem System, auch in der Registry. Zusätzlich versendet er sich selbst über einen eigenen Mailserver an verschiedene Adresse, die auf der lokalen Maschine gespeichert sind. Auch kann es passieren, dass Dokumente ohne Wissen des Benutzers versandt oder Daten auf der Festplatte gelöscht werden. Weitere Informationen sind im Advisory, bei den Herstellern von AntiVirus Software oder dem BSI nachzulesen. Es wird dringend empfohlen, ein Pattern-Update der AntiVirus Software zu machen und gleichzeitig mit Attachments an E-Mails sehr vorsichtig umzugehen!
Die im CERT-Advisory genannten Texte sind übrigens nicht die Einzigen, die in E-Mails dieses Wurms stehen! In Deutschland wurden auch schon diverse andere Attachments gesehen - da der Wurm eben auch vertrauliche Dokumente verschickt...

System: Viele
Topic: Gefahren für Privatnutzer
Links: CA-2001-20
ID: ae-200107-041

Das US-CERT/CC weist darauf hin, dass auch für Privatnutzer im Internet Gefahren drohen - auch wenn keine Dienste angeboten werden. Die meisten Gefahren gehen momentan von Würmern und DDoS-Tools aus, aber es gibt auch direkte Angriffe auf PC's, die an das Internet angeschlossen sind. Es wird dringend empfohlen, auf jeden Fall aktuelle AntiVirus-Software und mindestens eine Personal Firewall einzusetzen. Weitere Informationen finden sich im Advisory.

System: Macromedia ColdFusion Server
Topic: Unberechtigter Zugang zu Dateien
Links: MPSB01-07
ID: ae-200107-040

Im ColdFusion Server hat Macromedia zwei Sicherheitslücken entdeckt. Die erste gestattet es, auch unauthorisiert Dateien zu lesen und zu löschen. Eine zweite Lücke kann dazu ausgenutzt werden, dass ColdFusion Server Templates auch mit einer Dateilänge von null überschrieben werden können. Ein Patch steht zur Verfügung.
Diese Lücken betreffen nicht den ColdFusion Server 5.

System: HP-UX
Topic: Sicherheitslücken in mkacct und ftp/ftpd
Links: HP Security Bulletin #00161, HP Security Bulletin #00162, L-119, L-118, ERS-2001:277, ERS-2001:278
ID: ae-200107-039

HP9000 Server unter HP-UX 11.04 (VVOS, VirtualVault) zeigen eine Sicherheitslücke in /sbin/mkacct. Dieses Programm arbeitet nicht richtig, so dass unberechtiger Root-Zugang möglich ist. Der FTPd zeigt die sog. "glob"-Lücke, die in CA-2001-07 näher beschrieben ist. Diese Lücke kann dazu führen, dass über das Netzwerk unberechtigterweise Code ausführbar ist.
Patches stehen jetzt zur Verfügung.

System: Cisco
Topic: Wurm Code Red
Links: Cisco, ERS-272.2, L-120
ID: ae-200107-038

Bei einigen Produkten von Cisco sind ebenfalls anfällige IIS im Einsatz. Direkt benutzt wird diese Software z.B. von Cisco CallManager, Cisco Unity Server, Cisco uOne, Cisco ICS7750 und Cisco Building Broadband Service Manager. Auf andere Produkte kann der Wurm aber auch Auswirkungen haben. Cisco DSL-Router der 600er Serie, die nicht mit einem Patch (siehe Cisco Security Advisory versehen sind, stellen ihre Arbeit ein, wenn durch sie ein vom "Code Red" Wurm ausgelöster Scan läuft. Der folgende Zustand (DoS) kann nur durch ein Aus- und Einschalten behoben werden. Cisco Management-Produkte können auch betroffen sein, wenn sie auf einer anfälligen Microsoft-Plattform laufen. Weitere Informationen finden sich im Advisory.

System: Red Hat Linux
Topic: Sicherheitslücken in procmail und imap
Links: RHSA-2001-093, RHSA-2001-094, ERS-2001:275
ID: ae-200107-037

Procmail, ein Mail-Prozessor, der in Red Hat Linux enthalten ist, zeigt eine inkorrekte Behandlung einiger Signale. Das Package UW imap zeigt verschiedene Pufferüberläufe, was zum Kompromittieren des Systems, auf dem der IMAP- oder POP-Server läuft, führen kann. Patches stehen jetzt zur Verfügung.

System: Viele
Topic: Sicherheitsrisiko in openssl
Links: OpenSSL, S-01-70
ID: ae-200107-036

Der Pseudo-Zufallszahlengenerator PRNG von OpenSSL bis Version 0.9.6a hat einen Designfehler. Sofern ein Angreifer die Ausgabe zu bestimmten PRNG Requests erhält, kann er hieraus auf den internen Status des PNRG schließen und die weiteren Ausgaben vorhersagen. Ein Source-Code Patch steht zur Verfügung.

System: Microsoft Windows
Topic: Wurm Code Red
Links: eeye, CA-2001-19, ERS-2001:273, IN-2001-08, L-117, ERS-273.3
ID: ae-200107-035

Systeme unter Microsoft Windows NT 4.0 bzw. Windows 2000 mit IIS 4.0 oder IIS 5.0 sind von einem Wurm betroffen, der sich zur Zeit rasend schnell im Internet verbreitet. Der Wurm nutzt eine bekannte Sicherheitslücke im IIS aus. Diese ist in z.B. CA-2001-13 und MS01-033 näher beschrieben. Nach einer Infektion scannt der Wurm IP-Adressbereiche nach Hosts ab, die auf Port 80 lauschen. Ist ein Host gefunden, der die gleiche Sicherheitslücke aufweist, werden bei englischsprachigen Servern die Web-Seiten verändert. Gleichzeitig setzt sich der Wurm auch in diesem System fest.
Es wird dringend empfohlen, den von Microsoft herausgegebenen Patch zu installieren - sofern dies noch nicht geschehen ist.

System: IBM DB2 Universal Database für Windows NT/2000
Topic: Denial-of-Service möglich
Links: WinITSec
ID: ae-200107-034

A Denial-of-Service (DoS) condition exists in Im IBM DB2 Universal Database Server wurde eine DoS-Möglichkeit gefunden, durch die der Server absürzt. Hierzu verbindet sich ein Angreifer über TCP zu den Ports, über die db2ccs.exe und db2jds.exe ansprechbar sind (meist 6790 und 6789). Das Senden von nur einem Byte an Information genügt, um den Absturz auszulösen.
Ein Patch steht noch nicht zur Verfügung, IBM arbeitet aber daran.

System: Linux Mandrake
Topic: Sicherheitslücke in openssl
Links: MDKSA-2001-065
ID: ae-200107-033

Der Pseudo-Zufallszahlengenerator PRNG von OpenSSL bis Version 0.9.6a hat einen Fehler im Design. Sofern ein Angreifer die Ausgabe zu bestimmten PRNG Requests erhält, kann er hieraus auf den internen Status des PNRG schließen und die weiteren Ausgaben vorhersagen. Ein Patch steht jetzt zur Verfügung.

System: FreeBSD und andere
Topic: Sicherheitsrisiko durch tcpdump
Links: ERS-2001:272, S-01-69, FreeBSD-SA-01:48, L-122
ID: ae-200107-032

In der mit FreeBSD 4.x ausgelieferten Version von tcpdump wurde die Möglichkeit zu einem Pufferüberlauf gefunden, die auch über das Netzwerk auszunutzen ist. Durch eine falsche Behandlung der Längen von Strings besteht dieses Risiko bei der Auswertung von AFS RPC Paketen. Hierdurch kann auch Code mit den Rechten von tcpdump (meist Root) auf dem System ausgeführt werden. Ein Source-Code Patch steht jetzt zur Verfügung.

System: IBM AIX 4.3.x, 5.1
Topic: Sicherheitslücke in der Bibliothek libi18n
Links: ERS-2001:271, L-123
ID: ae-200107-031

AIX wird mit der Bibliothek "libi18n" in "/usr/ccs/lib" ausgeliefert. Ein Benutzer kann den Wert der Umgebungsvariablen "LANG" auf einen beliebigen Wert setzen. Wird diese Variable mit "speziellen" Werten gesetzt und nutzt ein Programm die genannte Bibliothek, kann es durch einen Pufferüberlauf zu einem Absturz des Programms kommen. Lokale Benutzer können auf diese Weise Root-Zugang zum System erhalten. Ein Patch steht zur Verfügung.

System: Red Hat Linux
Topic: Sicherheitslücken in vipw und elm
Links: RHSA-2001-095, RHSA-2001-091, ERS-2001:267, ERS-2001:270
ID: ae-200107-030

vipw, aus dem util-linux Paket in Red Hat Linux 7.1, enthält eine neue Option, die es ermöglicht /etc/shadow und /etc/passwd zu editieren. Allerdings stellt diese Option nicht sicher, dass /etc/shadow nur für root lesbar bleibt.
Elm hat einen Pufferüberlauf bei der Verarbeitung von sehr langen Message-IDs. Dies überschreibt andere Header Felder und kann möglicherweise auch noch mehr Schaden anrichten.
Patches sind jetzt verfügbar.

System: Cisco IOS 12.x train
Topic: Sicherheitslücke in PPTP
Links: Cisco, ERS-2001:264, WinITSec
ID: ae-200107-029

Die Implementierung des Point to Point Tunneling Protocol (PPTP) in der Cisco IOS Software enthält eine Sicherheitslücke, die einen Router zum Absturz bringt, wenn er ein bösartiges PPTP Paket empfängt. Für das Auftreten dieses Fehlers sind keine speziellen Bedingungen oder Router-Konfigurationen nötig. Patches sind jetzt verfügbar.

System: HP-UX
Topic: Sicherheitslücken in dlkm und login
Links: HP Security Bulletin #00159, HP Security Bulletin #00160, ERS-2001:266, ERS-2001:270, L-115, L-114
ID: ae-200107-028

Die statische Kernel-Symbol-Tabelle der Dynamically Loadable Kernel Modules (dlkm) ist fehlerhaft konfiguriert.
In 'login' existiert eine Sicherheitslücke, die es Benutzern mit einer Restricted Shell erlaubt, nicht autorisierte Befehle auszuführen und möglicherweise aus der Restricted Shell auszubrechen.
Patches stehen jetzt zur Verfügung.

System: Mehrere Hersteller
Topic: Sicherheitslücken in mehreren Implementierungen von LDAP
Links: CA-2001-18, ERS-2001:268, L-116
ID: ae-200107-027

Das CERT/CC in den USA berichtet über mehrere Sicherheitslücken in verschiedenen Implementierungen des Lightweight Directory Access Protocols (LDAP). Betroffene Systeme sind: iPlanet Directory Server, IBM SecureWay, Lotus Domino R5 Servers, Teamware Office, Qualcomm Eudora WorldMail, Microsoft Exchange 5.5 LDAP Service, Network Associates PGP Keyserver, Oracle 8i Enterprise Edition und OpenLDAP. Weitere Informationen über diese Sicherheitslücken, die betroffenen Versionen der Software und die Verfügbarkeit von Patches finden Sie im Advisory.

System: OpenLinux
Topic: Sicherheitslücken in imp und docview
Links: CSSA-2001-025, CSSA-2001-026
ID: ae-200107-026

Horde und imp verwenden /tmp auf unsichere Weise. Ein lokaler Angreifer kann Zugriff auf das Webserver Konto (httpd) erhalten. Es ist auch möglich, als Angreifer über das Netzwerk interne Datenfiles zu sehen.
Ein Fehler bei der Überprüfung von Argumenten in einem der CGI-Scripts von 'docview' erlaubt es einem lokalen Angreifer, Zugang zum httpd Account zu erlangen.
Patches sind jetzt verfügbar.

System: SuSE Linux
Topic: Sicherheitslücken in w3m, dqs, openssl und fetchmail
Links: SuSE
ID: ae-200107-025

In den Programmen 'w3m', 'dqs' und 'fetchmail' wurden Sicherheitslücken durch Pufferüberläufe gefunden.
'openssl' weist eine Schwachstelle bei der Erzeugung von Pseudozufallszahlen auf.
Patches sind jetzt verfügbar.

System: NAI McAfee AsaP
Topic: Sicherheitslücke durch installierten myCIO HTTP Server
Links: WinITSec
ID: ae-200107-024

Der myCIO HTTP-Server, der als Teil von McAfees AsaP Anti-Virus Software installiert wird, zeigt eine Lücke. Durch den Aufbau einer Verbindung zum Port 6515 und der Übergabe eines speziellen URL's besteht die Möglichkeit, dass aus dem Web-Verzeichnis ausgebrochen werden kann. Als Folge können Dateien, von denen der Speicherort bekannt ist, angesehen bzw. heruntergeladen werden. Es wird empfohlen, bis zum Erscheinen eines Patches diesen Service mit den Rechten eines lokalen Benutzers und nicht wie üblich unter dem SYSTEM-Account ausführen zu lassen.

System: Debian Linux
Topic: Sicherheitslücke in cfingerd
Links: DSA-066
ID: ae-200107-023

Der cfingerd (configurable finger daemon) zeigt einige Lücken. Der Code, der die Konfiguratiosdatei liest, überprüft den Datei-Inhalt nicht weiter, so dass hier das Risiko eines Pufferüberlaufes vorhanden ist. Außerdem besteht in der gleichen Routine kein Schutz gegenüber sog. Print Format Angriffen. ALLOW_LINE_PARSING ist bei einer Standardinstallation von /etc/cfingerd.conf eingeschaltet, daher können lokale Benutzer Root-Rechte erreichen. Ein Patch steht jetzt zur Verfügung.

System: Linux Mandrake
Topic: Sicherheitslücke in GTK+
Links: MDKSA-2001:061
ID: ae-200107-022

Im GTK+ Toolkit wurde eine Sicherheitslücke gefunden. Lokale Benutzer können bei der Umgebungsvariablen GTK_MODULES weitere Verzeichnisse hinzufügen. Daher besteht die Möglichkeit, dass Benutzer eigene Module anlegen, die aber mit dem GTK+ nichts zu tun haben - sie werden aber mit den entsprechenden erhöhten Rechten ausgeführt.
Patches stehen für die betroffenen Systeme Linux Mandrake 7.2/8 und Single Network Firewall 7.2 zur Verfügung.

System: Microsoft Outlook
Topic: Sicherheitsrisiko durch ActiveX
Links: MS01-038, GG-049, ERS-2001:265, WinITSec, L-113
ID: ae-200107-021

In allen Versionen von Microsoft Outlook (98, 2000, 2001, XP) wurde eine Lücke gefunden. Das ActiveX Control View Control gestattet das Betrachten der einzelnen Mail-Ordner über einen Web-Browser. Eigentlich sollte dieses Control nur passiv arbeiten, also z.B. Mail oder Kalenderdaten anzeigen. Es zeigt aber eine zusätzliche Funktionalität, wodurch die Daten im Outlook manipulierbar sind. Daher kann ein Angreifer auch E-Mail löschen, Kalendereinträge verändern oder auch beliebigen Code auf dem PC des Benutzers ausführen.
Ein Patch steht noch nicht zur Verfügung. Als Workaround empfiehlt Microsoft, in der Internet-Zone des Internet Explorers ActiveX zu deaktivieren. Im Gegensatz dazu empfiehlt Georgi Guninski folgendes: "Solution: Uninstall Office XP and Windows.". Er hat auch eine Demonstration des Problems veröffentlicht.

System: FreeBSD
Topic: Sicherheitsrisiken im Kernel, fetchmail, gnupg, samba, w3m und xinetd
Links: FreeBSD-SA-01:42, FreeBSD-SA-01:43, FreeBSD-SA-01:44, FreeBSD-SA-01:45, FreeBSD-SA-01:46, FreeBSD-SA-01:47, ERS-2001:261, ERS-2001:257, ERS-2001:262, ERS-2001:260, ERS-2001:259, ERS-2001:258
ID: ae-200107-020

In den genannten Programmen und Systemteilen bestehen mehrere Sicherheitslücken. Hierbei handelt es sich z.B. um Format-String Lücken, sogar über das Netzwerk ausnutzbare Pufferüberläufe und ander Möglichkeiten, unberechtigt Root-Rechte auf dem System zu erhalten. Patches stehen zur Verfügung und sollten baldmöglichst installiert werden.

System: Cisco SN 5420 Storage Router
Topic: Zwei neue Sicherheitslücken
Links: Cisco, ERS-2001:255, S-01-68, L-112, WinITSec
ID: ae-200107-019

Durch das Aufbauen sehr vieler Verbindungen zu Port 8023/tcp innerhalb von sehr kurzer Zeit, startet das System neu. Außerdem besteht die Möglichkeit, dass über den Befehl "rlogin" oder eine Verbindung zu Port 8023, Unberechtigte Zugang zum System erhalten - hier findet keine Abfrage eines Passwortes statt.
Patches stehen zur Verfügung.

System: Check Point FW-1 / VPN-1
Topic: Format Strings Sicherheitslücke
Links: Checkpoint, ERS-2001:263
ID: ae-200107-018

Bei der Check Point FireWall-1 bzw. VPN-1 Version 4.1 besteht eine neue Sicherheitslücke, die es einem Firewall-Administrator mit einem autorisierten Management-Client erlaubt, bösartige Daten an eine Management-Station zu senden und möglicherweise die Management-Station in ihrer ordnungsgemäßen Funktion zu behindern. Diese Sicherheitslücke entsteht durch die fehlerhafte Handhabung von Format Strings an mehreren Stellen in VPN-1/FireWall-1 Version 4.1. Dieser Fehler kann nur von authentifizierten und autoriserten Firewall-Administratoren von einem Rechner aus, dem die Management-Station explizit vertraut, ausgenutzt werden. Read/Write Rechte sind dazu allerdings nicht nötig. Ein Patch ist jetzt verfügbar.

System: FreeBSD 4.3
Topic: Sicherheitslücke in rfork
Links: GG-48, L-111
ID: ae-200107-016

Gregori Guninski berichtet von einer Sicherheitslücke in FreeBSD 4.3, die einem lokalen Angreifer möglicherweise Root-Rechte gewährt. Ein Designfehler erlaubt es Signal Handler in andere Prozesse einzuschleusen. Weitere Informationen zu dieser Sicherheitslücke und Patches sind im Advisory zu finden.

System: HP-UX
Topic: Sicherheitslücke in escd
Links: HP Security Bulletin #00158, ERS-2001:254, L-110
ID: ae-200107-015

Das Programm 'escd' des Event Correlation Services (ECS) ermöglicht nicht autorisierten Zugriff für Benutzer. Patches stehen jetzt zum Download zur Verfügung.

System: FreeBSD
Topic: Sicherheitslücke in hanterm
Links: FreeBSD-SA-01:41, ERS-2001:252
ID: ae-200107-014

'hanterm' ist eine modifzierte Version von xterm, das die koreanische Sprache und Schrift unterstützt. Das hanterm binary wird mit setuid root Rechten installiert, enthält aber unsicheren Code, der es einem lokalen Benutzer erlaubt, Root-Rechte zu erhalten. Soure Code Patches sind jetzt verfügbar.

System: Red Hat Linux
Topic: Sichrheitslücke in xinetd und xloadimage
Links: RHSA-2001-092, RHSA-2001-088, ERS-2001:250, ERS-2001:253
ID: ae-200107-013

In den Releases von xinetd vor 2.3.0 wurde ein Fehler in der Handhabung von Strings durch mangelhafte Überprüfung der Länge gefunden.
In 'xloadimage' existiert ein Pufferüberlauf. Dies kann eine Sicherheitslücke sein, da xloadimage vom Programm 'plugger' aus Netscape heraus aufgerufen wird um einige Arten von Bildern anzuzeigen.
Patches stehen zur Verfügung.

System: Check Point FW-1 / VPN-1
Topic: Sicherheitslücke durch RDP
Links: Checkpoint, CA-2001-17, ERS-2001:251, S-01-67, L-109
ID: ae-200107-012

In Check Point FireWall-1 und VPN-1 wurde eine Sicherheitslücke entdeckt, die es einem Angreifer erlaubt, die Firewall zu umgehen. Sofern die Grundeinstellungen der Firewall beibehalten werden, ist es möglich, beliebige RDP-Pakete über die Firewall hinweg zu schicken - in beide Richtungen. Durch Hinzufügen eines gefälschten RDP-Headers, kann also beliebiger Inhalt an den Port 259 auf einem Rechner auf der anderen Seite der Firewall gesendet werden. Ein Patch ist jetzt verfügbar.

System: Microsoft Windows
Topic: Hintertür in Demo-Screensaver 4th of July Fireworks
Links: WinITSec
ID: ae-200107-011

Im Demo-Screensaver 4th of July Fireworks von Rhode Island Soft Systems existiert eine Hintertür. Der Passwort-Schutz des Screensavers läßt sich einfach durch das Drücken der Space-Taste umgehen. Wie bei einer bereits gemeldeten Lücke, besteht auch hier die Möglichkeit, dass ein Angreifer den Default-Browser mit der Web-Site des Herstellers unter den Rechten des momentan angemeldeten Benutzers ausführt. Aus dem Adressfenster heraus kann dann explorer.exe gestartet werden und damit beliebige andere Programme mit den Rechten dieses Benutzers starten. Dieses funktioniert auf in Umgebungen, wo der Windows 2000 Terminal Server eingesetzt wird. Der Hersteller zeigt auch hier kein Interesse, diese Lücke zu schließen. Damit ist das Entfernen dieses Screensavers die einzige Maßnahme, sich zu schützen.

System: Microsoft Windows
Topic: Fernbedienung durch SubSeven
Links: IN-2001-07
ID: ae-200107-010

Das CERT/CC in den USA erhält derzeit verstärkt Meldungen über das Kompromittieren von PC's unter Microsoft Windows. Fast alle beziehen sich derzeit auf das Trojanische Pferd SubSeven. Mit dieser "Fernbedienungssoftware" können Angreifer über das Netzwerk beliebigen Code auf dem PC ausführen, damit also auch beliebige Datei-Inhalte lesen, verändern oder löschen. Es besteht auch die Möglichkeit, dass über eine solche Maschine weitergehende Angriffe in das Internet ausgeführt werden. Meist sind dieses dann Denial-of-Service Angriffe. Es wird empfohlen, eine aktuelle Anti-Viren Software und, sofern möglich, eine Firewall einzusetzen.

System: Microsoft Windows 2000
Topic: Mail-Relaying durch Authentifizierungsfehler beim SMTP-Dienst
Links: MS01-037, WinITSec, ERS-2001:249, L-107, S-01-66
ID: ae-200107-009

Der SMTP-Dienst ist Bestandteil der Standardinstallation des Windows 2000 Server, bei Windows 2000 Professional kann er installiert werden. Ein Fehler bei der Authentifizierung erlaubt Angreifern, sich mit ungültigen Angaben Benutzerrechte zu verschaffen. Dies kann dazu genutzt werden, um den Server als Mail-Relay zu verwenden. Ein Patch für Windows 2000 steht zur Verfügung. Für den Windows 2000 Datacenter Server wird er von den entsprechenden Hardware-Herstellern bereitgestellt. Wird der SMTP Dienst nicht benötigt, sollte er deaktiviert werden.

System: Mehrere Hersteller
Topic: Pufferüberlauf in mehreren RADIUS Implementierungen
Links: ISS-087, S-01-64
ID: ae-200107-008

Die ISS X-Force hat Sicherheitslücken durch Pufferüberlauf in zwei verbreiteten Remote Authentication Dial-In User Server (RADIUS) Implementierungen gefunden. Angreifer können das für eine Denial-of-Service (DoS) Attacke gegen den RADIUS Server nutzen oder beliebigen Code auf dem RADIUS Server ausführen. Betroffen sind die Hersteller Merit und Lucent. Patches sind verfügbar.

System: MS Windows 2000 / NT /9x
Topic: Hintertür im Bildschirmschoner "Living Waterfalls"
Links: WinITSec
ID: ae-200107-007

Im Living Waterfalls Bildschirmschoner existiert eine Hintertür. Ein Angreifer kann den Standard-Web-Browser mit der Web-Site des Herstellers unter den Rechten des momentan angemeldeten Benutzers starten. Aus dem Adressfenster kann dann explorer.exe gestartet werden. Der Hersteller, Rhode Island Soft Systems, beabsichtigt nicht diese Sicherheitslücke zu beheben. Workaround: Deinstallieren Sie die Screensaver Software.

System: Immunix OS
Topic: Sicherheitslücke in tetex
Links: ERS-2001:248
ID: ae-200107-006

Es wurde eine fehlerhafte Behandlung von temporären Dateien in einigen teTeX Filtern gefunden, die automatisch zum Drucken von .dvi Dateien über lpr verwendet werden. Dies kann einem Angreifer die erweiterten Privilegien lp:lp geben. Ein Patch ist jetzt verfügbar.

System: HP-UX
Topic: Sicherheitslücken in xntpd und setrlimit
Links: HP Security Bulletin #00148, ERS-2001:240, HP Security Bulletin #00156, ERS-2001:241
ID: ae-200107-005

Hewlett-Packard hat sein Advisory über die Sicherheitslücke in xntpd überarbeitet. Neue Patches für HP-UX 10.24 und 11.04 stehen jetzt zur Verfügung.
Der Systemaufruf setrlimit() ermöglicht fehlerhafte core-Dateien, wenn deren Größe auf 0 gesetzt wurde. Patches sind jetzt verfügbar.

System: OpenLinux
Topic: Sicherheitslücke in openssh
Links: CSSA-2001-023, ERS-2001:247
ID: ae-200107-004

Wegen der unsicheren Handhabung von temprären Verzeichnisen durch openssh kann ein lokaler Angreifer jede Datei mit den Namen 'cookies' aus dem System löschen. Ein Patch ist jetzt verfügbar.

System: Linux Mandrake
Topic: Sicherheitslücken in xinetd und fetchmail
Links: MDKSA-2001-055, MDKSA-2001-063
ID: ae-200107-003

Wie schon früher berichtet, stellt Mandrake einen Patch für xinetd zur Verfügung, der die "ulimit" Sicherheitslücke behebt. Im bisherigen Advisory wurde nicht erwähnt, dass dieser Patch auch eine Lücke durch einen möglichen Pufferüberlauf im Logging-Code schließt.
Das Programm fetchmail enthält einen Pufferüberlauf-Fehler, der über das Netzwerk durch Senden einer Email mit sehr langem "To:"-Header ausgenutzt werden kann. Ein Patch ist jetzt verfügbar.

System: Oracle 8i
Topic: Sicherheitslücke in TNS Listener
Links: PGP Covert Labs, CA-2001-16, S-01-62, ERS-2001:243, L-108, ERS-2001:256
ID: ae-200107-002

Der Oracle 8i TNS (Transparent Network Substrate) Listener ist für den Aufbau von Netzwerk-Verbindungen zu den Oracle Datenbank Diensten zuständig. Der Listener weist einen Pufferüberlauf Fehler auf, der es ermöglicht über das Netzwerk beliebigen Code auf dem Datenbank Server auszuführen, mit Rechten, die den vollen Zugriff auf die Datenbank Dienste oder, unter Windows NT/2000, den vollen Zugriff auf das Betriebssystem ermöglichen. Da der Pufferüberlauf vor jeder Authentifizierung auftritt, ist der Listener unabhängig vom eingeschalteten Passwortschutz betroffen. Patches sind verfügbar.

System: Cisco IOS, Catalyst 6000, PIX
Topic: Sicherheitslücke in ssh
Links: Cisco, ERS-2001:239
ID: ae-200107-001

Drei verschiedene Cisco Produktlinien sind anfällig gegenüber mehreren Sicherheitslücken im Secure Shell (SSH) Protokoll. Durch diese Schwachstellen ist es einem Angreifer möglich Befehle in eine bestehende SSH Session einzufügen oder Informationen zu erhalten, die einen Brute-Force Angriff auf den Schlüssel start verkürzen. Patches sind jetzt erhältlich.



(c) 2000-2014 AERAsec Network Services and Security GmbH