Meldungen im März 1999


Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt.
Und: Bitte nicht wundern, wenn einige Informationen via FTP geladen werden! Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!
  Click here for the
English version

Lotus Notes Verschlüsselte Mail unverschlüsselt gespeichert: Lotus, ERS-1999.048
Im Lotus Notes Client (R4.5 und neuer) ist ein Fehler gefunden worden, durch den verschlüsselt empfangene E-Mails unverschlüsselt im Mail-Eingangsordner des Benutzers gespeichert werden. Der Fehler tritt eigentlich nur bei nicht richtig konfigurierten Notes Clients auf, hat aber noch weitere Effekte. Bis das Problem in der nächsten Version behoben ist, sollten betroffene Benutzer die Konfiguration des Clients überprüfen. Damit die E-Mail immer verschlüsselt gespeichert wird, empfiehlt Lotus, als Pfad-Separator in der Maildatei grundsätzlich den Backslash (\) zu vervenden (im pers. und im öffentlichen Adreßbuch). Außerdem sollte in den Benutzer-Voreinstellungen "Encrypt Saved Mail" ausgewählt werden.
SuSE-Linux Sicherheitslücke in xfree86: SUSE-3
XFree86 legt ein temporäres Verzeichnis .X11-unix für die X Sockets in /tmp an. Die Rechte für dieses neue Verzeichnis werden auf 1777 gesetzt. Ein Angreifer kann einen Symlink mit diesem Namen anlegen und diesen z.B. auf /root zeigen lassen. Die Rechte sind auch hier auf 1777 gesetzt. Daher kann ein beliebiger lokaler Benutzer im gesamten System Dateien anlegen.
Es wird empfohlen, ein
Upgrade (SuSE 6.0, 5.3) des XF86 durchzuführen, oder als temporären Fix folgende Zeilen in /sbin/init.d/boot.local einzufügen:
/bin/rm -rf /tmp/.X11-unix
mkdir -p -m 1777 /tmp/.X11-unix
Microsoft Word 97/2000 Neuer Makrovirus Melissa: CA-99-04, ERS-1999.046, J-037, S-99-12, ESB-1999.042
Der Makrovirus Melissa wird in Form eines E-Mail Attachments (Word-Dokument) derzeit im Internet verbreitet. Die entsprechende E-Mail hat sehr häufig als Subject
Subject: Important Message From <name>
wobei <name> der volle Name des Absenders ist.
The Body der Mail ist eine MIME message mit zwei Abschnitten. Der erste ist reiner Text (Content-Type: text/plain):
Here is that document you asked for ... don't show anyone else ;-)
Der nächste Abschnitt ist ein Word-Dokument (Content-Type: application/msword), das ursprünglich den Namen "list.doc" hatte, aber heute auch unter anderen Namen verteilt wird. Unter bestimmten Bedingungen generiert der Virus unbemerkt Attachments an E-Mails, die Word-Dokumente von der lokalen Platte des Opferrechners sind.
Weitere Informationen sind im
Advisory und unter MS99-002 zu finden.
Microsoft Personal Web Server File Access Sicherheitslücke im Personal Web Server: MS99-010, ERS-1999.047, ESB-1999.043
Eine Sicherheitslücke erlaubt grundsätzlich, daß durch die Eingabe eines speziellen URL's die Dateizugriffsbeschränkungen durch den Server umgangen werden können. Hierzu muß der Benutzer den Namen der Datei wissen bzw. richtig ragen. Es können grundsätzlich alle Dateien auf dem Server gelesen, nicht aber verändert oder neue Dateien angelegt werden. Administrative Tätigkeiten sind ebenfalls nicht möglich. Weitere Informationen sind in der MS Knowledge Base zu finden:
Article Q216453, FP98:
Security Patch for FrontPage Personal Web Server
Article Q217765, FP97:
Security Patch for FrontPage Personal Web Server
Article Q217763,
File Access Vulnerability in Personal Web Server
Es wird empfohlen, den von Microsoft herausgegebenen
Patch für den Personal Web Server 4.0 zu installieren. Bei der Verwendung einer älteren Version, sollte vorher ein Upgrade auf den PWS 4.0 durchgeführt werden.
HP-UX 11.00 Sicherheitslücke in ftp: HP Security Bulletin #00094, ERS-1999.045, J-038, ESB-1999.041
Hewlett-Packard hat herausgefunden, daß während des normalen Betriebes durch das Programm ftp normale Benutzer erhöhte Rechte auf der Maschine bekommen können. Es wird empfohlen, den entsprechenden Patch einzuspielen. Ein Rebooten der Maschine ist nicht notwendig. 
HP9000 Series 700/800, HP-UX 11.00  PHCO_17601
NetBSD Sicherheitslücke durch das 'noexec' mount flag: NetBSD-07, ERS1999-043, ESB-1999.037
Auf einem System, bei dem alle Partitionen für normale Benutzer mit Schreibrechten versehen sind, werden diese normalerweise mit der Option `noexec' gemounted. Daher können Benutzer keine Binärdateienn von dieser Partition aus starten. Durch eine ungenügende Überprüfung im Systemaufruf mount können normale Benutzer weitere Devices (lokal oder auch über Netzwerk) unter Umgehung der vom Administrator gesetzten Optionen mounten und daher auch Binärdateien ausführen. 
Für NetBSD 1.3.3 ist ein entsprechender
Patch erschienen.
HP-UX 10.20 Sicherheitsrisiko durch hpterm: HP Security Bulletin #00093, ERS-1999.042, J-038, ESB-1999.038
Im Patch PHSS_13560 ist ein Fehler beim Zugriff auf Bibliotheken durch das Programm hpterm über den Benutzer mehr Rechte als vom Administrator beabsichtigt erreichen können. Es wird dringend empfohlen, den jetzt erschienenen neuen Patch zu installieren: 
HP9000 Series 700/800, HP-UX 10.20 PHSS_17830
alle Neues ISS Summary: ISS, ERS-1999.041
ISS berichtet von 25 neuen Sicherheitslücken im letzten Monat:
-
ldap-mds-bo
-
cisco-router-commands
-
cisco-router-dos
-
shockwave-updater
-
default-bay-switches
-
nt-screen-saver
-
solaris-psinfo-crash
-
linux-blind-spoof
-
iis-isapi-execute
-
irix-font-path-overflow
-
testtrack-dos
-
testtrack-passwords
-
win-redirects-freeze
-
sco-startup-scripts
-
sol-cancel
-
gnuplot-home-overflow
-
netscape-server-dos
-
imail-passwords
-
oracle-passwords
-
xcmail-reply-overflow
-
imail-imap-overflow
-
imail-imonitor-overflow
-
imail-ldap-overflow
-
imail-websvc-overflow
-
imail-whois-overflow
Weitere Informationen sind auf dem Server von
ISS zu finden.
Cisco Catalyst Switches Cisco Catalyst Supervisor Remote Reload: Cisco, ERS1999-044, S-99-11, ISS-024, ESB-1999.040
Über das Netzwerk kann ein Angreifer über Port 7161/tcp eine Verbindung zum Switch aufbauen und veranlassen, daß das Supervisor-Modul des Gerätes neu geladen wird. Während dieser Zeitdauer leitet der Switch keinen Datenverkehr weiter. Dieses kann, besonders wenn dieser Angriff oft wiederholt wird, einen Denial-of-Service Angriff gegen an die an den Switch angeschlossenen Geräte bedeuten. Der Switch nimmt seine Arbeit nach dem Laden automatisch wieder auf. Im
Advisory sind detaillierte Informationen über die verschiedenen betroffenen Versionen veröffentlicht. 
Cisco hat Patches veröffentlicht, die das genannte Problem beheben.
Linux Slackware 3.6 Sicherheitsrisiko während der Installation über Netzwerk: ISS, ERS1999-040, ISS-023
Während der normalen Slackware-Installation wird diese beendet, ohne daß vom System nach einem Root-Paßwort gefragt wird. Nach der Installation wird das System neu gebootet. Nach diesem ersten Booten ist der Account von Root nicht durch ein Paßwort geschützt, der inetd ist aktiv und in der inetd.conf sind telnetd und rlogind in Betrieb - damit kann jeder ohne Paßwortabfrage mit Administrationsrechten auf die Maschine zugreifen.
Um diese Möglichkeit auszuschließen sollte direkt nach dem Rebooten für Root ein gutes Paßwort gesetzt, die genannten Services ausgeschaltet und der Root-Zugang über Netzwerk durch Entfernen der ptty-Einträge in /etc/securetty ausgeschaltet werden.
Wenn sie für den normalen Betrieb nicht benötigt werden, wird das Ausschalten von telnet und ftp in der inetd.conf und dem Neustart des inetd empfohlen. Zusätzlich sollten rlogin, rsh und rexec ebenfalls ausgeschaltet werden.
NetBSD Sicherheitslücke in umapfs: NetBSD-06, ERS1999-039, ESB-1999.036
Eine ungenügende Kernelüberprüfung beim umapfs (virtuellen) Dateisystem erlaubt lokalen Benutzern ihre User-ID zu jedem beliebigen anderen User (inkl. Root) zu mappen. 
Für NetBSD 1.3.3 ist ein
Patch erschienen, der die Benutzung von umapfs auf Root beschränkt und damit dieses Problem vermeidet. Wenn er nicht installiert werden soll, ist der Workaround, den Kernel neu zu compilieren. Hierzu sollte in der Kernelkonfiguration die Zeile
file-system UMAPFS # NULLFS + uid and gid remapping
entfernt werden. Hilfe zum Compilieren ist
hier und hier zu finden. 
Microsoft Exchange Server 5.5 LDAP Pufferüberlauf bei Microsoft Directory Services: ISS-022, MS99-009, ERS1999-037, ERS1999-038, J-036, ESB-1999.035
Von ISS ist ein Pufferüberlauf im LDAP (Lightweight Directory Access Protocol) des Microsoft Exchange Servers entdeckt worden. Mit Hilfe dieses Protokolles können mit einem LDAP-Client auf die Verzeichnisse des Servers zugegriffen werden. 
Der gefundene Pufferüberlauf wird über spezielle BIND-Anfragen ausgelöst und erlaubt die Ausführung beliebigen Codes auf der Maschine bzw. sorgt dafür, daß der Exchange LDAP Service abstürzt. 
Es wird empfohlen, den von Microsoft veröffentlichten Patch zu installieren (
X86 oder Alpha). 
Cisco 7xx Sicherheitslücken durch TCP und HTTP: Cisco, ERS1999-035, J-034, ISS-021, ESB-1999.033
Es sind zwei voneinander unabhängige Sicherheitslücken in der Systemsoftware der Cisco 7xx-Serie (Small-Office und Home-Office Router) gefunden worden. Sie betreffen nur Cisco's der Serie 7xx.
Die erste Lücke kann dazu ausgenutzt werden, daß durch den Aufbau von TCP-Verbindungen zum Telnet-Port am Router System-Reloads und damit Denial-of-Service durchgeführt werden können. Es wird empfohlen, durch das Kommando set ip filter dafür zu sorgen, daß nur noch von einem bestimmten Administrationsrechner aus Verbindungen zum Cisco aufgebaut werden können:
#   set ip filter tcp source = not trusted-host destination = router block
Cisco Router der Serie 7xx mit den Software-Versionen 3.2(5) und 4.2(3) unterstützen einen einfachen HTTP-Server. Dieser Server wird per Default installiert und in Betrieb genommen. Wenn der Server nicht explizit ausgeschaltet wird, kann u.U. von außen die Konfiguration des Routers verändert oder auch weitere Systeminformationen abgerufen werden. Dieses ist eigentlich beabsichtigt, aber nicht alle Administratoren wissen, daß überhaupt ein HTTP-Server auf dem Router läuft. Daher empfiehlt es sich, den Server durch das Kommando
#   set clickstart off
auszuschalten.
Linux-Kernels bis einschl. 2.0.35 Linux Blind TCP Spoofing: NAI, ERS1999-033, ERS1999-034, J-035, SuSE-1, ESB-1999.039
Durch einen Fehler in der Implementierung des Linux TCP/IP Stacks ist es Angreifern möglich, ohne dem Erraten von Sequenznummern in sich gerade aufbauende oder bestehende TCP-Verbindungen Daten einzustreuen bzw. Daten vor einem Verbindungsaufbau an die Applikationsebene zu schicken.
Kernels unterhalb der Version 2.0.36 sollten möglichst umgehend durch aktuelle Versionen ersetzt werden.
IRIX 3.x - 6.5 Pufferüberlauf durch X server font path: SGI19990301, J-033, ESB-1999.032
Auf allen IRIX-Plattformen wird per Default ein X-Server installiert. Im Font-Path des X-Servers ist eine Sicherheitslücke gefunden worden, über die lokale Benutzer Administrationsrechte auf der Maschine erreichen können. Es wird dringend empfohlen, die im
Advisory genannten Patches zu installieren.
Windows NT (alle Versionen) Sicherheitslücke im Windows NT Screensaver: Cybermedia, NTshop, MS99-008, ERS1999-036, ESB-1999.034
Der Screensaver wird durch das Programm winlogon.exe über den CreateProcess API Call gestartet. Hierdurch wird das primäre Security Token vom Screensaver auf das des angemeldeten Benutzers geändert. Wenn dieses nicht gemacht würde, liefe der Screensaver unter der Rechten von winlogon.exe - und damit im System Context.
Winlogon.exe überprüft nicht, ob die Änderung des primären Tokens auch erfolgreich durchgeführt wurde. Damit ist nicht sichergestellt, daß der Screensaver unter den richtigen Rechten läuft. Unter Umständen kann durch diese Lücke z.B. auch der momentan angemeldete Benutzer in die Gruppe der Administratoren zugeordnet werden.
Hier kann eine Demo des Problems ausprobiert werden.
Microsoft hat verschiedene Hotfixes (für die US-Version von NT) herausgebracht, die baldmöglichst installiert werden sollten: X86-based Windows NT
Workstation und Server 4.0 (inkl. Enterprise Edition), X86-based Windows NT Server 4.0, Terminal Server Edition, Alpha-based Windows NT Workstation und Server 4.0 (inkl. Enterprise Edition und Terminal Server Edition) sowie Alpha-based Windows NT Server 4.0, Terminal Server Edition.
HP-UX Sicherheitslücke im NES3.6 unter VVOS: HP Security Bulletin #00092, ERS-1999.032
Unter bestimmten Umständen kann es passieren, daß der Netscape Enterprise Server (NES) Version 3.6 exorbitant viel CPU-Ressourcen benötigt. Gefunden wurde dieses beim NES, der mit dem Praesidium VirtualVault A.03.50 gebundled ist. Folgende Patches sollten eingespielt werden: 
HP-UX 10.24 with VirtualVault US/Canada  PHSS_17598
HP-UX 10.24 with VirtualVault A.03.50 International  PHSS_17599
NetBSD Sicherheitsrisiko durch lsof: NetBSD-05, ESB-1999.029
Wie bereits berichtet (
HERT-02), ist bei einigen Unix ein Pufferüberlauf möglich, der direkt zu einer Kompromittierung des Root-Accounts auf der Maschine führen kann. Im NetBSD ist alles vor lsof-4.40 ohne den arg.c-Patch anfällig für diese Lücke.Es wird empfohlen, das setgid-Bit durch die Eingabe von chmod 0755 /usr/pkg/sbin/lsof zu entfernen. Zur richtigen Behebung des Problems sollte die aktuelle Version von pkgsrc/sysutils/lsof eingespielt werden.
Windows NT bis v4.0 mit SP4 File Mapping Objects Cache ("KnownDLLs List") Sicherheitslücke: MS99-006-update, ESB-1999.031, S-99-10
Wie bereits im Februar 1999 berichtet wurde, besteht bezüglich der KnownDLLs ein Sicherheitsrisiko. Einige weitere Probleme wurden ebenfalls gefunden. Microsoft empfiehlt, den vorher genannten Workaround zu entfernen und stattdessen den für X86-based
Windows NT Workstation and Server 4.0 (incl. Enterprise Edition), X86-based Windows NT Server 4.0, Terminal Server Edition, Alpha-based Windows NT Workstation and Server 4.0 (incl. Enterprise Edition und Terminal Server Edition), Alpha-based Windows NT Server 4.0, Terminal Server Edition erschienen Hotfix zu installieren. Bisher ist dieser Hotfix nur für die US-Version erhältlich, ein Hotfix für die internationalen Versionen wird folgen.
NetBSD Denial-of-Service durch traceroute: NetBSD-04, ESB-1999.028
Mit dem Aufruf von traceroute(1) mit ungültigen Argumenten kann die Zeit zwischen dem Aussenden der einzelnen Pakete auf Null gesetzt werden. Hierdurch werden in sehr kurzer Zeit viele Pakete verschickt. Da dieses auch mit gefälschter IP-Absenderadresse vorgenommen werden kann, ist die Rückverfolgung eines solchen Flutens mit Paketen sehr schwierig.
Für NetBSD 1.3.3 ist im Source Code ein
Patch herausgegeben worden. Als temporäre Maßnahme sollte das setuid-Bit durch chmod u-s /usr/sbin/traceroute entfernt werden. Dadurch kann nur noch root diesen Befehl nutzen.
OpenBSD 2.4 Sicherheitslücken in ping und link: OpenBSD
In ping(8) gibt es durch einen Pufferüberlauf eine Sicherheitslücke, die durch Installation eines
Patches geschlossen werden sollte.
Ferner besteht die Möglichkeit, daß die Maschine abstürzt, wenn mit link(2) auf FFS "herumgespielt" wird. Auch hier sollte der entsprechende
Patch installiert werden.
Internet Explorer 4.x IE ermöglicht Zugriff auf die Zwischenablage: NTshop
Wie von Juan Carlos Garcia
Cuartango berichtet wird, existiert wiederum eine Sicherheitslücke in Verbindung mit dem IE4 und der Zwischenablage. Um deren Inhalt sichtbar zu machen, genügt ein kurzes Java-Script. Der Grund für das Problem liegt im IE ActiveX-Objekt.
Der Zugang zur Zwischenablage ist gemäß der Sicherheitsregeln von Microsoft für den IE verboten, wenn der Inhalt nicht vom IE hineinkopiert wurde. Wenn ein Script versucht, Inhalte in eine Textbox einzufügen, gelingt diese Aktion nur, wenn die Daten vom IE aus in die Zwischenablage kopiert worden sind. Mit dem Einsatz eines ActiveX-Objektes kann dieser Schutz umgangen und, z.B. der Inhalt der Zwischenablage in eine Input-Box kopiert und mittels POST zu einer beliebigen Web Adresse geschickt werden.
Cuartango hat eine
Demonstration dieser Sicherheitslücke veröffentlicht. Microsoft kündigt einen Fix für den nächsten Service Pack des IE4 an.
NetBSD Probleme im wu-ftpd und lsof beseitigt: NetBSD-03, NetBSD-05
Die Risiken im ftpd (
CA-99.03) und lsof (HERT-02) können jetzt beseitigt werden. Es wird empfohlen, die für den wu-ftpd erschienenen Patches zu installieren: NetBSD 1.3, 1.3.3, 1.3I. Bezüglich des Risikos in lsof wird empfohlen, das setgid-Bit mittels chmod 0755 /usr/pkg/sbin/lsof zu entfernen. Wie das Problem durch einen Patch und erneutem kompilieren von lsof beseitigt werden kann, wird im Advisory beschrieben.

zurück zu den aktuellen Meldungen

© 1999 Dr. Matthias Leu, EDV Beratung für Internet/Intranet, letzte Änderung: 02.05.99, 19:36 +0200