Network Security

AERAsec
Network Security
Aktuelle Sicherheitsmeldungen


Die meisten Links führen direkt auf die entsprechende Datei der meldenden Organisation, damit Sie die Original-Meldung ebenfalls lesen können. Die Meldungen sind meist auf Englisch.

Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Die AERAsec Network Services and Security GmbH stellt ein:
IT Security Consultant (m/w)
in Hohenbrunn b. München

Weitere Informationen bei Dr. Matthias Leu - hr@aerasec.de

AERAsec

Hier finden Sie unsere Suchmaschine zur Netzwerk-Sicherheit!


Sie übermitteln u.a. folgende Informationen:

Ihr Browser

CCBot/2.0 (http://commoncrawl.org/faq/)

Ihre Absenderadresse

ec2-54-224-29-154.compute-1.amazonaws.com [54.224.29.154]

Ihr Referer

(gefiltert oder nicht vorhanden)

Aktueller Monat, Letzter Monat, Letzte 10 Meldungen, Letzte 20 Meldungen (nur Index)

Ausgewählt wurde Meldung mit ID ae-200207-028

System: Pyramid BenHur Firewall
Topic: Portfilter-Regelsatz für aktives FTP resultiert zu einem Sicherheitsrisiko für die Firewall
Links: ae-200207-028-BenHur-activeFTPruleset, Pyramid, SecuriTeam, Security+Bugware #5548
ID: ae-200207-028

Pyramid's BenHur Firewall, welche auf Debian Linux mit Kernel 2.2.x basiert, benutzt die vom Linux-Kernel zur Verfügung gestellte ipchains-Firewall. Diese ist allerdings nur ein statischer Portfilter (im Gegensatz zu iptables bei Kernel 2.4.x).
Das Regelwerk, welches aktives FTP von innen (Client) nach außen (Server) erlaubt, ist nicht perfekt. Dieses kann einem Angreifer über das Netzwerk ermöglichen, mit Quellport 20 beliebige Ports ab 1024 bis über 65000 via TCP anzusprechen.
Das ist insofern gefährlich, da u.a. auf Port 8888 die webbasierte Administrationsoberfläche ansprechbar ist, die standardmäßig nicht durch ACLs in oberen Schichten geschützt wird. Wenn hier das bekannte Standardpaßwort noch nicht geändert wurde, besteht die potentielle Gefahr der vom Administrator sicher ungewollten Fernwartung von außen.

Pyramid hat bereits das experimentelles Update 067 veröffentlicht, welches diese Lücke schließt. Es steht für Kunden über den eingebauten Updatemechanismus oder unter der URL https://www.ben-hur.de/updates_experimental/ zur Verfügung.

Wem das Update zu riskant erscheint, kann durch folgende Änderungen in der Datei '/etc/init.d/ben-hur.ipchains' die Portfilter so verändern, daß nicht mehr alle Ports ab 1024 ansprechbar sind:

Alt:
$IPCHAINS -A input --source-port 20 -d $WORLD 1024:65096 -p tcp -i $IFACE_WWW -j ACCEPT
$IPCHAINS -A output --source-port 20 -d $HOME 1024:65096 -p tcp -i $IFACE_LAN -j ACCEPT

Neu:
# Für Maquerading von aktiven FTP
$IPCHAINS -A input --source-port 20 -d $WORLD 61000:65095 -p tcp -i $IFACE_WWW -j ACCEPT
$IPCHAINS -A output --source-port 20 -d $HOME 1024:65535 -p tcp -i $IFACE_LAN -j ACCEPT

Weitere Details sind in unserem ausführlichen englischsprachigem Advisory im Textformat ae-200207-028-BenHur-activeFTPruleset zu finden.



(c) 2000-2016 AERAsec Network Services and Security GmbH