Meldungen im Februar 1999
Die meisten Links führen direkt auf die
entsprechende Datei beim meldenden CERT bzw. andere
Organisation. Die ständige Aktualität (speziell welche
Gegenmaßnahmen zu ergreifen oder welche Patches zu
installieren sind) ist damit sichergestellt. Und: Bitte nicht wundern, wenn einige Informationen via FTP geladen werden! Die meisten nachgeladenen Texte sind auf englisch. Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind! |
Click here
for the English version |
SLMail version 3.1 und 3.2 | Umgehung der NTFS Rechte auf
Maschinen mit SLMail: mnemonix,
NTshop Die Möglichkeit der Remote-Administration von SLMail erlaubt es, daß Änderungen im Mail-Service über HTTP, Port 180/tcp möglich sind. Die NTLM-Authentifizierung sollte eingeschaltet sein, damit nur berechtigte Benutzer mit einer Kennung und Paßwort diesen Service nutzen können. Einmal authentifiziert, können die Benutzer Änderungen am Mail-Service und an der finger-Information des Benutzeraccount durchführen. Der Grund hierfür ist, daß die Rechte des Benutzers nicht weiter überprüft werden und der Prozeß unter dem SYSTEM-Account läuft. Aus diesem Grunde sollte die Remote-Administration ausgeschaltet sein! Wenn dieses nicht möglich ist, sollte in "Access this computer from the Network" das Recht von der Gruppe "Everybody" auf Administratorenrechte eingeschränkt werden. |
|||||||||||||||||||||||||||||
Internet Information Server 4.0 | IIS ermöglicht Paßwort-Angriffe
über NetBIOS: mnemonix,
NTshop Ein Feature des Internet Information Server 4.0 gestattet es potentiellen Angreifern Useraccounts lokal oder auch über das Internet anzugreifen. Per Default wird vom IIS 4 ein virtuelles Verzeichnis "/IISADMPWD" angelegt. In diesem Verzeichnis befinden sich .htr-Dateien, auf die auch anonyme Benutzer zugreifen können, wenn ihr Zugriff nicht auf 127.0.0.1 beschränkt ist. Die Dateien in diesem Verzeichnis sind alle ähnlich und ermöglichen es Benutzern, ihr Paßwort über eine Web-Schnittstelle zu ändern. Wenn eine Anfrage über Web in der Form IP-Adresse\Benutzername an den IIS gerichtet wird, versucht der Server über den NetBIOS Session-Port zu kontaktieren und das Paßwort des Benutzers zu ändern (IPADDRESS\ACNAME). Dieses kann dazu führen, daß der Account kompromittiert wird. Wenn der genannte Service nicht benötigt wird, sollte das virtuelle Verzeichnis /IISADMPWD entfernt werden. Eine andere Möglichkeit ist, den Verkehr zu Port 139/tcp durch eine Firewall streng zu limitieren. |
|||||||||||||||||||||||||||||
Computer Associates | Sicherheitsrisiko in ArcServeIT:
NTshop Von ARCserve werden die Account-Inbformationen wie Username und Paßwort bei der Datensicherung quasi im Klartext über das TCP/IP-Netzwerk übertragen. Unter verschiedenen Umständen kann es daher möglich sein, daß Administratorrechte auf den betroffenen Maschinen erreicht werden. Eine detaillierte Beschreibung des Problems ist im Advisory nachzulesen. Ähnliche Risiken können auch in IPX/SPX- und NetBEUI-Netzwerken bestehen. Es wird empfohlen, den von CA herausgegebenen Patch zu installieren. |
|||||||||||||||||||||||||||||
Red Hat Linux | Sicherheitslücke in lsof:
ESB-1999.022 Wie bereits berichtet (HERT-02), sind einige Unix gegenüber einem Pufferüberlauf empfindlich, der nicht Berechtigten einen Root-Zugang zur Maschine ermöglicht. Das Unix Red Hat Linux 5.2 wurde bisher mit einer hierauf empfindlichen Version ausgeliefert, daher ist die Installation des entsprechenden Patches dringend empfohlen: Red Hat Linux 5.2: alpha: rpm -Uvh ftp://updates.redhat.com/5.2/alpha/lsof-4.40-1.alpha.rpm i386: rpm -Uvh ftp://updates.redhat.com/5.2/i386/lsof-4.40-1.i386.rpm sparc: rpm -Uvh ftp://updates.redhat.com/5.2/sparc/lsof-4.40-1.sparc.rpm Source rpm: rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/lsof-4.40-1.src.rpm |
|||||||||||||||||||||||||||||
alle | Neues CERT-Summary: CS-99.01,
ESB-1999.027,
S-99-09,
ERS-1999.031 Seit dem letzten CERT Summary im Dezember 1998 (CS-98.08) sieht das US-amerikanische CERT derzeit folgende Trends: 1. Weitgefächerte Scans: Das CERT bekommt täglich mehrfach Berichte über Angreifer, die mit immer ausgefeilter werdenden Tools Systeme nach bekannten Schwachstellen untersuchen. 2. Back Orifice und NetBus: Auch Meldungen, die diese beiden Windows-basierten "Remote Administrationsprogramme" gehen täglich ein. 3. Trojanische Pferde: Die Anzahl der Meldungen, die Trojanische Pferde für Systeme unter Windows, aber auch Unix betreffen, steigen weiterhin an. 4. FTP Pufferüberläufe: Potentielle Angreifer scannen inzwischen auch nach den gerade erst gemeldeten Schwachstellen in FTP Servern. |
|||||||||||||||||||||||||||||
Microsoft Windows 98 und Back Office Resource Kit | Sicherheitslücke durch Taskpad:
MS99-007,
ESB-1999.026,
ERS-1999.030,
NTshop Taskpads sind ein Feature von den genannten Systemen. Durch dieses können Benutzer des Resource Kits Tools über HTML-Seiten ansprechen. Es ist bekannt geworden, daß bestimmte Methoden fälschlicherweise als "safe for scripting" gekennzeichnet sind. Dieses kann auf Web Servern dazu ausgenutzt werden, daß auf den Rechner des Benutzers vom Server aus frei zugegriffen werden kann, ohne daß der Benutzer es bemerkt. Es wird empfohlen, den entsprechenden Patch zu installieren: - Windows 98 Resource Kit, Windows 98 Resource Kit Sampler und BackOffice, second Edition for Windows 95 and 98 - Microsoft BackOffice Resource Kit, second edition for Windows NT: x86 version, Alpha version Diese Patches entfernen die Taskpad-Funktionalität. |
|||||||||||||||||||||||||||||
Debian Linux | Sicherheitslücken in wget
und lsof: Debian0220,
Debian0220a Wenn lsof als setuid-root oder mit setgid kmem läuft, ist es gegeüber einem Pufferüberlauf anfällig, wodurch direkt Root-Zugriffe auf der Maschine möglich sind. lsof 4.37-3 ist demnächst erhältlich. Die im slink (2.1 Beta) und potato verwendete Version von wget hat beim Aufruf mit dem Parameter -N bei dem Verändern der Dateirechte von Symlinks einen Fehler. Debian 2.0 ist hiervon nicht betroffen, nur die genannte Version, die nicht öffentlich erhältlich ist. Ein verbessertes wget_1.5.3 ist in Kürze verfügbar. |
|||||||||||||||||||||||||||||
Windows | Windows Backdoors Update
II: ISS-020,
ERS-1999.028,
J-032,
ESB-1999.030 ISS hat das alle 3 Monate Update zu Backdoors in Windows 9x und NT herausgebracht. In dieser Ausgabe wird NetBus 2.0 Pro sehr detailliert beschrieben (hier kann es auch heruntergeladen werden). Eine weitere Hintertür wird mit dem WM97/Caligula Virus geöffnet. Hierbei handelt es sich um einen Microsoft Word Makro Virus, der den Schlüsselbund geheimer Schlüssel von Pretty Good Privacy (PGP) stiehlt und auf einen Codebreaker FTP Server schafft. Das Trojanische Pferd Picture.exe, oft als E-Mail Attachment auftretend, schickt Informationen über das System unter Windows NT oder 9x an mehrere verschiedene E-Mail Adressen in China. Auch unter dem Namen Manager.exe ist es schon aufgetaucht. . Im Advisory sind alle diese Hintertüren genau beschrieben und auch dargestellt, wie sie entdeckt und entfernt werden können. |
|||||||||||||||||||||||||||||
IRIX | Sicherheitslücke im ToolTalk
RPC Service: SGI-19981101,
ERS-1999.027,
ESB-1999.023,
I-091 Wie bereits berichtet (SGI-9981101 und CA-98.11), sind einige IRIX anfällig gegen einen Pufferüberlauf im RPC Service ToolTalk. Silicon Graphics hat Patches herausgebracht. Die Nummern und Installationshinweise sind dem Advisory zu entnehmen. |
|||||||||||||||||||||||||||||
Windows NT bis v4.0 mit SP4 | File Mapping Objects Cache
("KnownDLLs List")
Sicherheitslücke: L0pht,
NTshop,
MS99-006,
ERS-1999.029,
ESB-1999.024 Im Windows NT werden einige System-DLL's nur genau einmal geladen und von den verschiedenen Programmen, die auf der Maschine im Einsatz sind, gemeinsam unabhängig vom Benutzer genutzt. Dieses wird gemacht, damit keine redundanten DLL's in den Speicher geladen werden müssen und damit die Speicherausnutzung sowie die Performance des Systems optimiert wird. Wenn ein Programm auf eine dieser DLL's zugreifen muß, referenziert das Betriebssystem auf eine Liste der momentan geladenen DLL's (KnownDLLs) um den Ort im Speicher zu bestimmen. Durch SIcherheitsmechanismen im Windows NT sind die DLL's gegen Modifikationen abgesichert, aber per Default können alle Benutzer die Liste der KnownDLLs lesen und auch schreibend erweitern. Dadurch kann ein Benutzer eine modifizierte DLL laden, die den gleichen Namen wie eine aus der bekannten Liste hat und danach den Eintrag in der KnownDLLs-Liste ändern. Von diesem Zeitpunkt an werden alle Anfragen von Programmen an die eigentliche System-DLL an diese spezielle DLL weitergeleitet. Programme mit hohen Privilegien können als Folge dazu genutzt werden, daß ein bestimmter Benutzer in die lokale Gruppe der Administratoren mit aufgenommen wird. Für das Ausnutzen dieser Lücke ist ein lokaler Account auf dem System notwendig. Um die Liste der KnownDLLs besser zu schützen, sollte folgender Eintrag in der Registry vorgenommen werden: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager: Name: ProtectionMode Type: REG_DWORD Value: 1 Ein entsprechender Hotfix ist von Microsoft angekündigt. |
|||||||||||||||||||||||||||||
Debian Linux | Root-Rechte durch eterm:
Debian0218 Die Version 0.8.8 der nicht offiziell erschienenen Debian "potato" Distribution war im Programm eterm gegenüber Angriffen, um Root auf der lokalen Maschine zu werden, anfällig. Die früheren Versionen 0.7 und 0.8.7 sind hiervon nicht betroffen. Das Sicherheitsloch ist in der momentan erhältlichen Version von potato (eterm_0.8.8-5 und höher) nicht mehr vorhanden. |
|||||||||||||||||||||||||||||
viele Linux | Pufferüberlauf in lsof:
HERT-02 In den meisten Unix-Dialekten wird das Kommando lsof dazu genutzt, Informationen über durch Prozesse geöffnete Dateien abzufragen. Wenn lsof als setuid-root oderr setgid kmem läuft, ist es gegenüber einem Pufferüberlauf empfindlich, der entweder direkt oder durch Patchen des Kernels indirekt zu Root-Rechten für den Angreifer führt. Es wird empfohlen, folgende Dateirechte zu setzen: chmod 0755 lsof |
|||||||||||||||||||||||||||||
Unix, NFR | Sicherheitslücke im NFR Web
Server: ERS-1999.024,
ERS-1999.025 Der Web Server des Network Flight Recorder (NFR) wird als Frontend für das NFR System genutzt. Per Default heißt der Prozeß auf der Maschine "webd" und kann über den TCP Port 2001 angesprochen werden. Sind keine weiteren Schutzmechanismen nach außen implementiert, so kann ein Angreifer mit dem NFR Web Server eine Verbindung aufbauen. Aufgrund eines Fehlers im "webd" kann bei speziellen Anfragen an den Server ein Überlauf des Stacks provoziert werden. Durch das Überschreiben temporärer Aufzeichnungen im Stack kann der Angreifer die vollständige Kontrolle über den Prozeß bekommen. Es wird dringend empfohlen, Patch Nr. 2.0-p3 für NFR Version 2.0.2 Research zu installieren. Wie dieses vorgenommen werden kann, ist im Advisory näher ausgeführt. |
|||||||||||||||||||||||||||||
Unix | Lücke in mSQL (Mini
SQL) 2.0.6 und darunter: KSRT#10 mSQL ist eine über http://www.hughes.com.au erhältliche Datenbank, die einen Subset der ANSI SQL Query Spezifikationen beherrscht und weit verbreitet ist. Wenn der Zugang über das Netzwerk möglich ist (per default z.B. bei Version 2.0.4.1 ausgeschaltet), können von Extern folgende Informationen abgerufen werden: 1. Die Tabelle der momentanen Verbindungen 2. Die Version des Servers 3. Momentane und maximale Anzahl der Verbindungen 4. Benutzername und User-ID des msqld-Prozesses Diese Informationen können einem potentiellen Angreifer bereits den unauthorisierten Zugang zur Datenbank verschaffen. In Version 2.0.7 von mSQL wird diese Lücke geschlossen sein. |
|||||||||||||||||||||||||||||
Debian Linux | Sicherheitsprobleme in cfengine:
Debian0215 Im Paket cfegine wurde in der Art, wie cfengine mit temporären Dateien arbeitet, ein Fehler gefunden. Während des Aufräumens von Home-Verzeichnissen ist dieses Programm gegenüber einem Symlink-Angriff anfällig. Es wird empfohlen, eine Version zu installieren, die nicht anfällig ist. Diese ist im Advisory genannt. |
|||||||||||||||||||||||||||||
Debian Linux | Pufferüberlauf im "Super"
Package: Debian0215a,
ISS-019,
J-031,
ERS-1999.026,
ESB-1999.025,
S-99-07 Super ist ein Tool, mit dem berechtigte Benutzer einzelne Kommandos mit Root-Berechtigung ausführen können. Es ist als sicherere Alternative zu setuid-Skripten gedacht. Im Super wurde die Möglichkeit gefunden, einen Pufferüberlauf zu provozieren, durch den Angreifer Root-Rechte auf der Maschine bekommen können. Es sollte so bald wie möglich Version 3.11.7 installiert werden, in ihr ist diese Sicherheitslücke geschlossen worden. Außerdem sollten Administratoren dafür sorgen, daß die setuid-Tools nicht von normalen Benutzern ausgeführt werden können. Um für Super das Setuit-Bit permanent auszuschalten, sollte als Root das Kommando # chmod 755 /usr/bin/super abgesetzt werden. |
|||||||||||||||||||||||||||||
BackOffice Server 4.0 | BackOffice Server 4.0 löscht den Installation-Setup
File nicht: MS99-005,
ERS-1999.023,
J-030,
ESB-1999.021,
S-99-08 Wenn ein Benutzer den SQL Server, den Exchange Server oder den Microsoft Transaction Server des BackOffice 4.0 unter Windows NT installiert, fragt das Installationsprogramm nach Benutzernamen und Paßworten des SQL Executive Logon Accounts, den Exchange Services Account und den MTS Remote Administrationsaccount. Die Angaben werden in der Datei <systemdrive>\Program Files\Microsoft Backoffice\Reboot.ini gespeichert und für die Installation der Server benötigt. Nach der Installation löscht der BackOffice Server diese Datei nicht. Es wird empfohlen, diese Datei nach Fertigstellung der installation zu löschen. |
|||||||||||||||||||||||||||||
viele Unix | Sicherheitsrisiko in vielen ftpd:
CA-99.03,
ERS-1999.022,
J-029,
S-99-02,
ESB-1999.020 Software, durch die auf einer Maschine FTP zur Verfügung gestellt wird, heißt "ftp server", "ftp daemon", oder "ftpd". Auf den meisten Systemen ist die ftpd-Software installiert und per Default in Betrieb. Für die bekanntesten ftpd wurde eine neue Klasse von Sicherheitsrisiken gefunden. Begründet durch eine nicht genügende Bereichsüberprüfung besteht die Möglichkeit, von außen den internen Stack des ftpd durcheinanderzubringen. Wenn spezielle Kommandos an den ftpd geschickt werden, besteht die Möglichkeit, daß auf der Zielmaschine beliebige Kommandos mit Root-Rechten abgesetzt werden können. Betroffen hiervon sind auch die neuesten Versionen des ProFTPD (1.2.0pre1) und der Wuarchive ftpd (2.4.2-academ[BETA-18]). wu-ftpd wird bei den meisten Linux-Distributionen wie z.B. RedHat, Debian, oder Slackware eingesetzt. Weitere Informationen aller Hersteller sind im Advisory nachzulesen. |
|||||||||||||||||||||||||||||
DIGITAL UNIX V4.0x | Sicherheitsrisiko in at
und inc: J-027,
ERS-1999.021,
ESB-1999.019 In den Kommandos "at" und "inc" von Compaq's Tru64/DIGITAL UNIX wurden potentielle Sicherheitslücken gefunden, über die lokale Benutzer mehr Rechte als vom Administrator beabsichtigt erreichen können. Es wird empfohlen, einen von Digital erschienen Patch zu installieren. |
|||||||||||||||||||||||||||||
Solaris mit CDE | Sicherheitslücke im Common
Desktop Environment (CDE): SUN Security Bulletin
#00185,
ERS-1999.020,
J-028,
S-99-05,
ESB-1999.018 Wie bereits in CA-98.02 berichtet wurde, bestehen in der CDE Lücken, über die u.U. beliebige Dateien gelöscht oder auch root-Rechte auf einer Maschine erreicht werden können. Sun empfiehlt die herausgegebenen Patches unverzüglich zu installieren (Solaris 7 ist nicht betroffen).
|
|||||||||||||||||||||||||||||
Solaris 2.3 - 7 (SPARC und x86), SunOS 4.1.4 und 4.1.3_U1 | Sicherheitsrisiko durch man/catman:
SUN Security Bulletin #00184,
ERS-1999.019,
J-028,
S-99-06,
ESB-1999.017 Mit dem man-Kommando werden als Hilfe die Referenz-Manuals angezeigt. Mit catman werden formatierte Versionen der Manuals angelegt. Mit diesen beiden Kommandos lassen sich, wenn man oder catman unter root läuft, beliebige Dateien auf dem System überschreiben. Sun empfiehlt die sofortige Installation des entsprechenden Patches.
|
|||||||||||||||||||||||||||||
Solaris mit CDE | Sicherheitsrisiko durch sdtcm_convert:
SUN Security Bulletin #00183,
ERS-1999.018,
J-028,
S-99-04,
ESB-1999.016 sdtcm_convert ist ein setuid-root Kalenderdaten-Konvertierungstool, das Kalender der Version 3 (OpenWindows) in das Datenformat von Version 4 (xtensible calendar data format) und zurück konvertiert. Durch das Ausnutzen eines Pufferüberlaufes können nicht Berechtigte root-Rechte auf der Maschine bekommen. Sun empfiehlt die sofortige Installation des entsprechenden Patches:
|
|||||||||||||||||||||||||||||
NetBSD | Sicherheitsproblem mit netstat:
NetBSD,
ERS-1999.017,
ESB-1999.015 In einigen Versionen von netstat ist eine Sicherheitslücke gefunden worden, die es normalen Benutzern eine detaillierte Untersuchung vom Kernel-Memory gestattet. Es wird empfohlen, einen Patch zu installieren bzw. netstat für normale Benutzer durch chmod 555 /usr/bin/netstat nicht mehr ausführen zu lassen. |
|||||||||||||||||||||||||||||
Windows NT 4.0 SP4 | Fehler in der Bearbeitung von Authentisierungen
im Windows NT 4.0 Service Pack 4: MS99-04,
ESB-1999.014,
ERS-1999.016,
NTshop Im Service Pack 4 für Windows NT 4.0 ist ein logischer Fehler enthalten, der es Benutzern unter bestimmten Umständen erlaubt, sich ohne Angabe eines Paßwortes einzuloggen. Dieses betrifft hauptsächlich NT Server, die als Domain-Controller in Umgebungen mit DOS, Windows 3.1, Windows for Workgroups, OS/2 bzw. Macintosh Clients arbeiten. Clients unter Windows NT, Windows 95 und Windows 98 client sind nicht betroffen. Es wird empfohlen, den von Microsoft herausgegebenen Patch für x86 bzw. Alpha. zu installieren. |
|||||||||||||||||||||||||||||
HP-UX | Sicherheitslücke durch rpc.pcnfsd:
HP Security Bulletin
#00091, ESB-1999.013,
ERS-1999.015, J-026,
S-99-03 rpc.pcnfsd ist ein Remote-Procedure-Call (rpc), der für die Authentisierung mit Usernamen und Paßwort im NFS genutzt wird. Wenn die Lücke ausgenutzt wird, kann das Spool-Verzeichnis des Druckers, das von rpc.pcnfsd genutzt wird, mit Welt-Schreibrechten versehen werden. Es wird empfohlen, den entsprechenden Patch einzuspielen:
In HP-UX 11.01 ist
dieses Problem nicht mehr vorhanden.
|
|||||||||||||||||||||||||||||
Microsoft IIS 3.0 und 4.0 | Sicherheitslücken im FTP-Service
des Internet Information Server (IIS): MS99-003,
ESB-1999.009,
ERS-1999.012 Der FTP Server vom IIS hat in der Komponente, die die "list"-Kommandos abarbeitet eine mangelnde Bereichsüberprüfung. Zwei Sicherheitslücken resultieren hieraus. Die erste ist ein Denial-of-Service (DoS) Angriff, der durch eine Anfrage mit speziellen List-Requests ausgelöst wird - der IIS stürzt ab. Schwieriger ist die Umsetzung eines zweiten DoS, durch den der Server nach klassischer Pufferüberlauf-Manier abstürzt und dabei beliebiger Code auf der Maschine mit den Rechten des IIS ausgeführt werden kann. Keine der beiden Lücken kann aus Versehen ausgeführt werden, der Benutzer muß eingeloggt sein (zumindest "Gast"). Es wird empfohlen, den von Microsoft herausgegebenen Patch zu installieren. Es wird Windows NT 4.0 SP4 vorausgesetzt: x86 IIS 3.0, Alpha IIS 3.0, x86 IIS 4.0, Alpha IIS 4.0 |
|||||||||||||||||||||||||||||
Red Hat Linux | Patches für minicom
packages: ESB-1999.011 Mit derzeitigen Minicom-Packages können alle Benutzer ein Modem über das System ansprechen. Mit diesem Update wird umgangen, daß die Benutzer in der Minicom Konfigurationsdatei eingetragen sein müssen. Die Installation folgender Patches wird empfohlen: Red Hat Linux 5.1 and 5.2: alpha: rpm -Uvh ftp://updates.redhat.com/5.2/alpha/minicom-1.82-3.alpha.rpm i386: rpm -Uvh ftp://updates.redhat.com/5.2/i386/minicom-1.82-3.i386.rpm sparc: rpm -Uvh ftp://updates.redhat.com/5.2/sparc/minicom-1.82-3.sparc.rpm Source rpm: rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/minicom-1.82-3.src.rpm Red Hat Linux 5.0: alpha: rpm -Uvh ftp://updates.redhat.com/5.0/alpha/minicom-1.82-0.alpha.rpm i386: rpm -Uvh ftp://updates.redhat.com/5.0/i386/minicom-1.82-0.i386.rpm Source rpm: rpm -Uvh ftp://updates.redhat.com/5.0/SRPMS/minicom-1.82-0.src.rpm Red Hat Linux 4.2: alpha: rpm -Uvh ftp://updates.redhat.com/4.2/alpha/minicom-1.81-2.alpha.rpm i386: rpm -Uvh ftp://updates.redhat.com/4.2/i386/minicom-1.81-2.i386.rpm sparc: rpm -Uvh ftp://updates.redhat.com/4.2/sparc/minicom-1.81-2.sparc.rpm Source rpm: rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/minicom-1.81-2.src.rpm |
|||||||||||||||||||||||||||||
alle | Informationen über Trojanische
Pferde: CA-99.02,
ESB-1999.012,
ERS-1999.014 In den letzten Wochen ist die Anzahl neu bekannt werdender Trojanischer Pferde angestiegen. Im Advisory werden nochmals die von diesen Schadprogrammen ausgehenden Gefahren beschrieben und auf die letzten Vorfälle verwiesen: Nachgemachtes Update für den Internet Explorer TCP Wrappers als Trojanisches Pferd Trojanisches Pferd in util-linux |
|||||||||||||||||||||||||||||
IRIX 6.5 | Sicherheits-Features von
IRIX 6.5: SGI-19990201,
ESB-1999.008,
ERS-1999.011 Da es einige Verwirrung um die Sicherheits-Features im IRIX 6.5 gab, hat Silicon Graphics die Änderungen in der Standard-Version von IRIX 6.5 veröffentlicht: 1) Access Control Lists (ACLs), /sbin/chacl 2) Least-Privilege Capabilities, /etc/capability and /etc/irix.cap 3) System Manager, /usr/sysadm/bin/sysmgr 4) Trusted IRIX (TRIX or TIRIX) Compartmented Mode Workstation (CMW) 6.5 |
|||||||||||||||||||||||||||||
alle | Hilfe gegen den Wurm Happy99.exe:
CIAC-C Der Computer-Wurm Happy99.exe hat sich in Europa verbreitet. Die meisten Anti-Virus Hersteller haben inzwischen Updates ihrer Patterns vorgenommen, damit dieser Code entdeckt und unschädlich gemacht werden kann. Im Advisory sind die entsprechenden Links gelistet. |
|||||||||||||||||||||||||||||
alle | Test von Mailservern gegen Spam: Unter der Adresse http://maps.vix.com/tsi/ar-test.html können Sie testen, ob Ihr Mailserver so konfiguriert ist, daß er nicht als Spam-Relay verwendet werden kann. | |||||||||||||||||||||||||||||
Microsoft Word 97 v8 | Neuer Makrovirus: J-025,
ESB-1999.010,
ERS-1999.013 Der W97M.Footprint Word Makrovirus wurde beim US-amerikanischen DOE entdeckt. Dieser Makrovirus hängt sich wie die Klasse W97M.Class im Word 97 an Dateien an. Durch diesen Infektionsweg sind ältere Versionen von Microsoft Word nicht davon betroffen. Wenn auf der Festplatte C: die beiden Dateien C:\footprint.$$$ C:\footprint.$$1 gefunden werden, besteht der Verdacht einer Infektion mit diesem Virus. Dieser Virus ist seit Januar 1999 bekannt. Er wurde zunächst in die Klasse W97M/CAP.GL eingestuft, inzwischen ist die neue Klasse W97M/Footer hierfür angelegt worden. Einige, aber noch nicht alle Anti-Virus Produkte erkennen diesen Virus. Bis ein Update der Patterns erfolgt, sollten die üblichen Vorsichtsmaßnahmen wie Schutz der Datei normal.dot durch ein Paßwort, Makrovirenüberprüfung bei Word einschalten und Vorsicht beim Öffnen von Dokumenten, die Makros enthalten, greifen. |
zurück zu den aktuellen Meldungen
© 1999 Dr. Matthias Leu, EDV Beratung für Internet/Intranet, letzte Änderung: 11.03.99, 23:26 +0000