| alle |
Neues Scanning-Tool "sscan":
AL-1999.001,
IN-99-01
Auf verschiedenen Mailinglisten ist ein neues Tool
"sscan" angekündigt worden, das sich derzeit
in der Version 0.1 (Alpha) befindet. Es ist eine
Weiterentwicklung von "mscan"(siehe
auch IN-98-02),
das in 1998 gegen viele Sites eingesetzt worden ist.
Das neue Tool führt Portscans gegen beliebige
Zielmaschinen aus, um Sicherheitslücken durch unsichere
Serverdienste herauszufinden. Empfehlungen, wie sich
gegen das Tool geschützt werden kann, sind dem Advisory
zu entnehmen. |
| MS Windows mit CA ControlIT 4.5
und früher |
Sicherheitslücken in ControlIT:
ISS-018,
ERS-1999.010
ControlIT (ehemals Remotely Possible/32) ist eine
Applikation zum Remote-Management von Systemen unter
Microsoft Windows. In dieser Software wurden einige
Sicherheitslücken gefunden:
Paßwortverschlüsselung:
ControlIT verschlüsselt bei der Übertragung von
Usernamen bzw. Paßwort die Daten nicht effektiv. Damit
können Accounts, auch der Administratoraccount bei
NT-Systemen kompromittiert werden.
CA empfiehlt, diese durch eine schwache Verschlüsselung
hervorgerufene Sicherheitslücke durch die Installation
von CryptIT(tm) zu schließen, da kein Patch für
ControlIT verfügbar ist.
Reboot:
ControlIT erlaubt authentisierten Remote- und lokalen
Benutzern, die Maschine zu rebooten bzw. Benutzer vom
System abzumelden. Durch eine Sicherheitslücke können
beliebige Remote-Benutzer diese Dinge durchführen, wenn
diese Option durch einen lokalen Benutzer eingeschaltet
ist.
Für diese Sicherheitslücke ist ein Patch (#TF73073)
verfügbar. Er kann über den Computer Associates Support
bezogen werden.
Zugang zum Adreßbuch:
Die ControlIT Addreßbuchfunktion ermöglicht es
Benutzern, häufig verwendete Benutzernamen und Paßworte
in einer Datei zu speichern. Auch hier wird nur eine sehr
schwache Verschlüsselung benutzt. Zusätzlich ist unter
Windows NT diese Datei von Everyone lesbar - damit kann
also jeder lokale Benutzer auf diese Daten zugreifen und
die Paßworte entschlüsseln.
Ein Patch, der verhindert, daß Paßworte in dieser Datei
gespeichert werden können, ist über den Computer Associates Support
verfügbar.
Zusätzlich wird empfohlen, durch Firewalls den Port
799/tcp zu kontrollieren. |
| Unix |
Trojanisches Pferd in TCP Wrapper:
CA-99-01,
S-99-01,
ERS-1999.009,
ESB-1999.006,
ESB-1999.007
TCP Wrapper werden bei Unix dazu verwendet, eingehende
Verbindungen zu monitoren und zu filtern. In einigen
Versionen der Datei tcp_wrappers_7.6.tar.gz wurde ein
Trojanisches Pferd gefunden, das Angreifern über Port
421/tcp Root-Zugang zu verschaffen. Außerdem wird beim
Compilieren des Trojanischen Pferdes eine E-Mail
verschickt, mit der Ergebnisse der Kommandos 'whoami' und
'uname -a' versandt werden.
Es wird dringend empfohlen, die MD5 Checksummen im Advisory
zu beachten! |
| Microsoft Word 97 |
"Word 97 Template"
Sicherheitslücke: MS99-002,
ERS-1999.008,
ESB-1999.005
Ein Sicherheitsfeature von Word 97 ist, daß der Benutzer
gewarnt wird, wenn ein Dokument, das Makros enthält,
geöffnet wird. Dieses bezieht sich allerdings nur auf
das Dokument selber. Links zu Vorlagen, die auch Makros
enthalten können, werden nicht überprüft und
demzufolge wird auch keine Warnung ausgegeben. Ein
Angreifer kann diese Lücke dazu nutzen, um z.B. auf der
Maschine des Benutzers Schaden anzurichten oder Daten
auszuspähen.
Es wird empfohlen, den von Microsoft herausgegebenen Patch
zu installieren. |
| Microsoft VBA |
Risiko im Forms 2.0 TextBox
Control: MS99-001,
ERS-1999.007,
ESB-1999.004
Das Forms 2.0 ActiveX Control zeigt eine
Sicherheitslücke, über die Text der Zwischenablage in
eine Forms 2.0 Text Box oder Combo Box kopiert werden
kann, ohne daß der Benutzer etwas merkt. Das genannte
Control wird als Standard bei folgenden Produkten
installiert:
- Microsoft Office 97
- Microsot Outlook 98
- Microsoft Project 98
- Microsoft Visual Basic 5.0
- Jedes Produkt, das Visual Basic for Applications 5.0
verwendet
Ein Angreifer kann das Forms 2.0 Control dazu
benutzen, den Benutzer im Web auf seine eigene Site
umzuleiten oder eine Mail, die vom Angreifer kommt,
unbeabsichtigt zu öffnen.
Der Forms
2.0 Security Patch sollte installiert werden. |
| alle |
Neues ISS Summary: ISS, ERS-1999.006
ISS berichtet zusammenfassend über 17 neue
Sicherheitslücken im letzten Monat:
- backweb-polite-agent-protocol
- http-cgic-library-bo
- hp-series5-crash
- http-request-method-garble
- acc-tigris-login
- datalynx-suguard-relative-paths
- novell-intranetware-dos
- sco-calserver-remote-bo
- ssh-privileged-port-forward
- oracle-tnslsnr-dos
- linux-random-read-dos
- bnc-proxy-bo
- http-cgi-nlog-metachars
- sims-slapd-logfiles
- backweb-cleartext-passwords
- http-frame-spoof
- linux-pam-passwd-tmprace
Weitere Informationen können auf dem Server von ISS eingesehen werden. |
| NetBSD |
Race condition bei TCP
Servern: NetBSD.1999-001,
ERS-1999.005,
ESB-1999.003
Viele TCP Server öffnen einen TCP Socket im Default
Blocking Mode, nutzen select(2) um auf
eingehende Verbindungen zu warten, um dann mit accept(2)
Verbindungen im Blocking Mode zu gestatten. Unter
gewissen Umständen kann es dazu kommen, daß accept(2)
hängenbleibt, so daß weitere Clients sich auch nicht zu
anderen Ports verbinden können. Zwei Workarounds werden
genannt:
1) Alle TCP Server sollten im Non-Blocking Mode auf
Verbindungen warten. Dieses verlangt allerdings
erhebliche Änderungen im Source Code aller
Applikationen, auch von Drittherstellern.
2) Durch Änderungen im Kernel kann dafür gesorgt
werden, daß Sockets nicht bei Schließen einer
Verbindung nicht aus der accept(2) Queue heruasgenommen
werden. Eine entsprechende Änderung ist im
NetBSD-current implementiert und bei NetBSD
erhältlich. |
| Microsoft Office 95/97 und die
meisten Browser |
Russian New Year
(“s’Novim Godom”) Sicherheitslücke: FRA99-001, ERS-1999.003
Finjan Software hat eine Erweiterung für das SurfinGate
4.02 herausgegeben, mit dem auch gegen Angriffe, die mit
der CALL-Sicherheitslücke in Microsoft Excel in
Verbindung stehen. Die Excel CALL-Funktion gestattet es,
Dateien aus einem Worksheet, der auch auf einem Web
Server gespeichert sein kann, auszuführen.
Einige HTML Anweisungen ermöglichen den Transfer
verschiedensten Source-Codes vom Web Server zum
Client/Browser. Dieses Feature kann dazu genutzt werden,
Web Seiten zu schachteln oder auch Programme auf dem
Clientrechner aufzurufen (so z.B. auch Excel). Alle
Versionen der Browser von Microsoft und Netscape (bis auf
Navigator 4.5) sind betroffen. Gleiches trifft für
HTML-fähige E-Mail Programme wie z.B. Microsoft Outlook
zu.
Mehr über diese Sicherheitslücke ist bei Microsoft
zu finden. |
| alle BackWeb Clients |
Sicherheitslücke im BackWeb
Polite Agent Protocol: ISS-017,
ERS-1999.004
Das BackWeb Polite Agent Protocol ist ein UDP-basierendes
Protokoll, über das BackWeb Clients mit BackWeb Servern
kommunizieren. Der "Anti-Spoofing Mechanismus, der
im BackWeb bei dieser Kommunikation verwendet wird, ist
schlicht das Senden einer zufälligen 32-Bit Integerzahl
an einer bestimmten Stelle (InfoPak) im Paket. Angreifer,
die den Datenverkehr mitschreiben, können diese Zahl
lesen und so dem Client einen falschen BackWeb Server
vorgaukeln.
Bis eine Methode gefunden ist, die Kommunikation sicherer
zu gestalten, empfiehlt ISS den Upgrade auf BackWeb 5.0,
das digitale Zertifikate von VeriSign unterstützt. |
| Windows 95/98 |
Sicherheitsrisiko durch Network
File Sharing: L0pht,
NTshop
Das Windows 95/98 Netzwerk Filesharings System benutzt
die gleiche Verschlüsselung, die für die SMB
Challenge/Response Authentisierung eingesetzt wird. Diese
Wiederverwendung ermöglicht es für Angreifer, die die
Authentisierung eines Benutzers mitgeschrieben haben, im
Namen dieses Benutzers Verbindungen zum File System
aufzubauen.
Für weitere Informationen lesen Sie bitte das Advisory. |
| Windows NT |
Neuer Virus: Remote Explorer
(auch RICHS genannt): ISS-016,
IN-98-07,
ERS-1999.001,
J-024
Remote Explorer kann unter Windows NT sowohl als Programm
als auch als Service ausgeführt werden. Wenn der Virus
in einer ausführbaren Datei vorhanden ist, wird er diese
als Resource definieren und eine Kopie von PSAPI.DLL
anlegen. In den Resourcen von Windows NT sind
Informationen, Icons, Dialoge etc. von ausführbaren
Dateien gespeichert. Wenn der Virus ausgeführt wird,
versucht er sich zuerst als Service zu installieren und
kopiert sich in die Datei Ie403.sys, die normalerweise
unter c:\winnt\system32\drivers zu finden ist.
Gelingt dieses nicht, z.B. weil der Benutzer auf der
Maschine keine Administratorrechte hat, so wird temporär
eine ausführbare Datei angelegt, von der aus der Virus
die Applikation startet. Als Ergebnis werden auf der
Maschine einige Applikationen ein merkwürdiges Verhalten
an den Tag legen.
Eine weitere Beschreibung sowie Gegenmaßnahmen sind im Advisory
beschrieben, weitere Informationen auch auf den Servern
von Datafellows,
Microsoft,
Central Command und NAI. |
| Red Hat Linux |
Sicherheitslücke im pam-Paket:
ESB-1999.001
Unter speziellen Umständen können Angreifer eine
Race-condition für ihre Zwecke ausnutzen. Betroffen ist
die Linux-PAM Bibliothek, die mit allen Versionen von Red
Hat Linux ausgeliefert wird. Die Sicherheitslücke tritt
im Modul pam_unix_passwd.so auf, das Modul pam_pwdb.so
ist hiervon nicht betroffen. Letztere wird für die PAM
Authentisierung eingesetzt.
Der entsprechende Patch für pam_unix_passwd.so sollte
eingespielt werden:
Red Hat Linux 5.0, 5.1 and 5.2:
alpha:
rpm -Uvh ftp://updates.redhat.com/5.2/alpha/pam-0.64-4.alpha.rpm
i386:
rpm -Uvh ftp://updates.redhat.com/5.2/i386/pam-0.64-4.i386.rpm
sparc:
rpm -Uvh ftp://updates.redhat.com/5.2/sparc/pam-0.64-4.sparc.rpm
Source rpm:
rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/pam-0.64-4.src.rpm
Red Hat Linux 4.2:
alpha:
rpm -Uvh ftp://updates.redhat.com/4.2/alpha/pam-0.57-5.alpha.rpm
i386:
rpm -Uvh ftp://updates.redhat.com/4.2/i386/pam-0.57-5.i386.rpm
sparc:
rpm -Uvh ftp://updates.redhat.com/4.2/sparc/pam-0.57-5.sparc.rpm
Source rpm:
rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/pam-0.57-5.src.rpm |
| IRIX 6.4 und höher |
Sicherheitslücke im IRIX fcagent
Daemon: SGI-19981201,
J-020
Der RPC-basierte IRIX fcagent(1m) Service dient dazu,
Anfragen über den Status bzw. der Konfiguration der
FibreVault Implementation abzurufen. Er wird auf Origin
and Onyx2 unter IRIX 6.4 und höher per Default
installiert.
Es ist eine Sicherheitslücke im fcagent(1m) Daemon
gefunden worden, über die FibreVault über das Netzwerk
ausgeschaltet werden kann, indem spezielle RPC Pakete an
den fcagent(1m) Daemon geschickt werden. Ein lokaler
Benutzeraccount ist für das Ausnutzen der Lücke nicht
notwendig.
Im Advisory
ist ein Workaround beschrieben und eine Liste zu
installierender Patches beschrieben. |
| Netscape Communicator |
Sicherheitslücke durch Frame-Spoofing:
NT060198,
Netscape
Was für den Internet Explorer in MS98-020
berichtet wurde, gilt auch für den Netscape
Communicator. Eine Demonstration der Lücke kann hier
ausprobiert werden. Netscape arbeitet an einem Fix. |
| Cisco IOS |
Syslog Crash durch nmap
UDP-Scans: Cisco,
ESB-98.197,
J-023,
S-98-81,
ESB-1999.002
Nmap UDP Scands können Cisco Router unter Cisco IOS
(Version 12.0 und u.U. auch anderen Versionen) zum
Absturz bringen. Das Problem scheint durch den Empfang
von Paketen auf dem Syslog-Port (514/udp) begründet zu
sein. Ein überprüfter Workaround ist, eingehende
Syslog-Meldungen am Router abzublocken, so daß die ACL
z.B. so aussieht:
! Deny all multicasts to port 514
access-list 101 deny udp any 224.0.0.0 31.255.255.255 eq
514
! Deny old-style broadcasts
access-list 101 deny udp any host 0.0.0.0 eq 514
! Deny network-specific broadcasts (*example*; depends on
local netmasks)
access-list 101 deny udp any 192.31.7.255 eq 514
! Deny router's own addresses
access-list 101 deny udp any host <router-addr-1>
eq 514
access-list 101 deny udp any host <router-addr-2>
eq 514
access-list 101 deny udp any host <router-addr-3>
eq 514
...
access-list 101 permit ip any any
interface <interface-1>
ip access-group 101 in
interface <interface-2>
ip access-group 101 in
...
In der Access List müssen Syslog-Meldungen an alle IP
Adressen des Routers, aber auch an die Broadcast- und
Multicastadressen geblockt werden. Ebenso sollten die
Broadcasts auf 0.0.0.0 und 1.1.1.1 geblockt werden. Diese
Ergänzungen der ACL sollte auf allen Interfaces und
Subinterfaces installiert werden (nicht auf 127.0.0.1).
U.U. hat der genannte Workaround Performance-Einbußen
zur Folge.
Weitere Informationen finden sich im Advisory. |
| Unix |
Denial-of-Service in
TCP: CA-98-13,
ESB-98.195,
S-98-80,
ERS-156
Mittels spezieller Paketsequenzen kann ein Angreifer
anfällige Systeme zum Absturz bringen oder anderweitig
von außen in seinem Sinne beeinflussen. Diese
Sicherheitslücke ist dem in CA-97.28
beschriebenen Teardrop-Angriff sehr ähnlich.
Eine Liste betroffener Systeme und entsprechende
Gegenmaßnahmen der Hersteller sind im Advisory
beschrieben. |
| Microsoft Internet Explorer 3.x
- 4.01SP1 |
Sicherheitslücke durch Frame-Spoofing:
MS98-020,
ESB-98.198,
ERS-157,
NT231298
Im IE hat sich eine Sicherheitslücke ergeben, weil der
"cross domain"-Schutz sich nicht auf die
Navigation mit Frames bezieht. Daher können von einem
Web Server aus Inhalte in einen Frame eingefügt werden,
ohne daß der Benutzer merkt, daß dieser nicht von der
Original-Site stammt. Als Folge besteht die Gefahr, daß
er persönliche Daten unwissentlich übermittelt. Dieses
Problem betrifft sowohl HTTP als auch HTTPS. Mehr
Information kann direkt bei Microsoft
abgerufen werden.
Es wird empfohlen, den von Microsoft herausgegebenen
Patch zu installieren. Benutzer des IE 3.x und 4.0
müssen vorher ein Upgrade auf Version4.01
mit Service Pack 1 durchführen, damit dann der
Hotfix für IE
4.01SP1 installiert werden kann. |
| Red HAT Linux |
Sicherheitslücke im FTP
Client: ESB-98.191
In allen Versionen von FTP-Clients, die mit Red Hat Linux
ausgeliefert werden, ist eine Sicherheitslücke gefunden
worden: Benutzer können unwissentlich im passiven Mode
mit dem Server eines Angreifers verbunden werden. Es wird
empfohlen, den entsprechenden Patch einzuspielen:
Red Hat Linux 5.0, 5.1 und 5.2:
alpha:
rpm -Uvh ftp://updates.redhat.com/5.2/alpha/ftp-0.10-4.alpha.rpm
i386:
rpm -Uvh ftp://updates.redhat.com/5.2/i386/ftp-0.10-4.i386.rpm
sparc:
rpm -Uvh ftp://updates.redhat.com/5.2/sparc/ftp-0.10-4.sparc.rpm
Source rpm:
rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/ftp-0.10-4.src.rpm
Red Hat Linux 4.2:
alpha:
rpm -Uvh ftp://updates.redhat.com/4.2/alpha/NetKit-B-0.09-9.alpha.rpm
i386:
rpm -Uvh ftp://updates.redhat.com/4.2/i386/NetKit-B-0.09-9.i386.rpm
sparc:
rpm -Uvh ftp://updates.redhat.com/4.2/sparc/NetKit-B-0.09-9.sparc.rpm
Source rpm:
rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/NetKit-B-0.09-9.src.rpm |
| Microsoft IIS 3.0 and 4.0 (Intel
und Alpha) |
Denial-of-Service Gefahr für
Internet Information Server: MS98-019,
ESB-98.196,
ERS-155
Diese Sicherheitslücke wird durch die Methode HTTP GET
hervorgerufen. Durch diese Methode werden normalerweise
Daten von einem Web Server abgerufen. Spezielle
GET-Anfragen können eine Situation hervorrufen, in der
der IIS von außen nicht mehr ansprechbar ist, er
benötigt alle Ressourcen der Maschine und liefert keine
Antworten mehr. Eventuell reicht bei einer solchen
Situation ein Neustart des IIS, u.U. muß aber auch die
Maschine neu gestartet werden. Auf dem Web Server
befindliche Daten sind nicht gefährdet. Weitere
Informationen sind bei Microsoft
abrufbar.
Es wird empfohlen, den entsprechenden Patch zu
installieren: IIS
3.0 x86, IIS
3.0 alpha, IIS
4.0 x86, IIS
4.0 alpha |
