| Microsoft Internet Explorer 4.0 und 5 |
Risiken durch "Malformed Favorites Icon": MS99-018, ERS-1999.074,
NTShop
1) Durch das "Favorites" Feature können Benutzer des IE eine Liste ihrer
favorisierten Web Sites führen (Bookmarks). Im IE 5 kann diese Liste Icons enthalten, die
mit der entsprechenden Web Site korreliert sind. Es besteht die Möglichkeit, daß durch
spezielle Icons ein Pufferüberlauf provoziert wird, durch den beliebiger Code auf der
Maschine des Benutzers ausgeführt werden kann. Diese Lücke betrifft nur IE, die unter
Windows 9x betrieben werden, NT-Systeme sind nicht betroffen.
2) Die "Legacy ActiveX Control" Lücke bezieht sich auf ein ActiveX Control, das
von früheren Installationen des IE genutzt wurde. Vom IE 4.0 und 5 wird es nicht benutzt.
Ist es auf der Maschine installiert, kann von einer Web Site aus die lokale Festplatte
ausgelesen werden.
Es wird empfohlen, den entsprechenden Patch möglicht
umgehend zu installieren. |
| Microsoft Windows NT 4.0 |
Sicherheitslücke durch Paßworte für RAS und RRAS: MS99-017, ERS-1999.073,
NTShop
Wenn die Client-Software von Microsoft für die Einwahl über RAS oder RRAS genutzt wird,
muß der Benutzer in einem Fenster seinen Account und Paßwort angeben. In diesem Fenster
befindet sich eine weitere Checkbox, in der angeklickt werden kann, ob das Paßwort
gespeichert werden soll - oder aber nicht. Unabhängig von der Eingabe des Benutzers wird
der Username und das Paßwort in der Registry weggeschrieben.
Es wird empfohlen, die von Microsoft erschienenen Patches zu installieren: RAS,
RRAS
Sie sind, wie bisher sehr häufig, nur für die US-Version von NT verfügbar. |
| Alle |
Neues CERT-Summary: CS-99.02, ERS-1999.072
Seit dem letzten CERT Summary im Februar 1999 (CS-99.01)
sieht das US-amerikanische CERT derzeit folgende Trends:
1. Verstärkte Virus-Aktivitäten:
- Melissa: Der Melissa-Virus verbreitet sich hauptsächlich durch an E-Mails angehängte
Word 97 bzw. Word 2000 Dokumente. Er wird von aktueller Anti-Virus Software entdeckt und
entfernt. Weitere Informationen unter CA-99-04
2. CIH/Chernobyl: Der CIH-Virus infiziert ausführbare Dateien und wird durch die
Ausführung einer infizierten Datei verbreitet. Daher verbreitet sich dieser Virus bei der
normalen Nutzung von Rechnern relativ schnell. Die verbreitetste Version wird am 26.
April, andere am 26. eines beliebigen Monats (speziell Juni) aktiv. Weitere Informationen
unter IN-99-03
- Happy99: Happy99.exe ist ein Virus in Form eines Trojanischen Pferdes. Bei Ausführung
des Programms ist auf dem Bildschirm ein Feuerwerk und eine Schrift "Happy 99"
zu sehen. Gleichzeitig werden Systemdateien so modifiziert, daß "Happy99" an
andere per E-Mail weitergeleitet wird. Weitere Informationen unter IN-99-02.
2. Wieder aufkommende SYN-Flooding Angriffe:
In letzter Zeit sind immer mehr SYN-Angriffe zu beobachten. Für diese Art von
Denial-of-Service Angriff auf Protokollebene sind Schutzmechanismen verfügbar, die
zumindest die Auswirkungen eines solchen Angriffs mindern. Weitere Informationen unter CA-96.21
3. Stark verbreitete Scans:
Scanner werden immer ausgefeilter, beginnend mit Tools, die einfache Skripten verwenden
bis hin zur Verwendung von Stealth-Techniken. Mit diesen Tools werden immer mehr Server
untersucht, als Ergebnis bekommen potentielle Angreifer Informationen über das
installierte Betriebssystem und seine Lücken sowie installierte Programme und die
entsprechenden Schwachstellen. Heute sind die meisten Angriffe automatisiert. Weitere
Informationen dazu: IN-99-01,
IN-98-06, IN-98-05, IN-98-04, IN-98-02. Die meisten Berichte
an das CERT betreffen Lücken in mountd, IMAP und POP3.
4. Angriffe gegen Web Server
Das CERT erhält sehr viele Meldungen über Angriffe gegen Web Server, die besonders die
Sicherheitslücken ausnutzen, die bei der Installation von Beispieldateien entstehen -
besonders betroffen die Server Cold Fusion und IIS. Die Angriffe haben oft Lese- und
Schreibrechte für den Angreifer zur Folge. Daher könnnen Angreifer beispielsweise auch
die Inhalte des Web Servers modifizieren. Weitere Informationen über die Lücken der
genannten Server bei Allaire und Microsoft. |
| Microsoft Word 97/2000 |
Melissa Virus Verbreitung durch .RTF-Files: SVA001,
SS-99-14
Der Virus W97M.Melissa (CA-99-04)
wurde erstmals im März 1999 entdeckt. Er wird derzeit wieder verstärkt verbreitet - und
zwar als Word-Dokument mit "RTF"-Extension. Bei diesen Dokumenten handelt es
sich nicht um RTF- sondern um Word-Dateien! Viele Benutzer haben ihren Virenscanner so
konfiguriert, daß Dateien mit der Endung ".RTF" nicht gescannt werden, daher
wird der Virus oft nicht entdeckt.
Alle Hersteller von Anti-Virus-Software haben inzwischen ihre Patternlisten aktualisiert,
daß auch der Melissa-Virus nachgewiesen werden kann. Es wird empfohlen, immer die
aktuellsten Patterns zu verwenden (auch wenn es sich hier nicht um einen neuen Virus
handelt) und sicherzustellen, daß auch Dateien mit der Endung ".RTF" gescannt
werden. |
| IRIX |
Sicherheitsrisiko durch midikeys: SGI19990501, ERS-1999.071
Durch das Ausnutzen einer Sicherheitslücke in midikeys ist es möglich, auf einer
Maschine Root-Access zu bekommen. SGI hat dieses öffentlich diskutierte Problem
bestätigt und arbeitet an einem Patch.
Als Workaround wird empfohlen, durch chmod 555 /usr/sbin/midikeys das Setuid-Bit
zu entfernen. |
| NetBSD |
Sicherheitslücke durch ARP Tabellen: NetBSD-010,
ERS-1999.070
Im NetBSD wurden zwei Sicherheitslücken gefunden, die das ARP Protokoll betreffen:
Die erste betrifft Maschinen mit mehr als einem Netzwerk-Interface. Adreß-Informationen
eingehender ARP-Pakete werden nicht überprüft, ob sie am richtigen Interface ankommen.
Daher kann von einem Interface aus die ARP-Information des anderen Interface verändert
werden und somit die Maschine u.U. nicht mehr korrekt auf ARP-Anfragen antworten. Ebenso
ist es möglich, daß hierdurch Datenverkehr umgeleitet wird. Die zweite Lücke betrifft
statische ARP-Einträge, die ebenfalls auf der Zielmaschine verändert werden können.
Es wird empfohlen, den entsprechenden Patch zu
installieren. |
| Microsoft Windows NT 4.0 |
Sicherheitslücke durch Telefonbucheinträge: NTShop,
MS99-016, ERS-1999.069
Die Komponente des RAS-Clients, die Telefonbucheinträge verarbeitet, hat eine Lücke,
durch die zwei Sicherheitsrisiken entstehen. Durch die erste Lücke kann ein
Denial-of-Service Angriff in der Art durchgeführt werden, daß ein Pufferüberlauf beim
RAS-Client provoziert wird und er hierdurch abstürzt. Die zweite Lücke ist komplizierter
auszunutzen. Sie basiert darauf, daß durch spezielle Einträge im Telefonbuch ebenfalls
ein Pufferüberlauf stattfindet und dadurch beliebiger Code auf der Opfermaschine
ausgeführt wird. RAS-Server sind von diesen Problemen nicht betroffen.
Es wird empfohlen, den von Microsoft veröffentlichten Hotfix
zu installieren. Derzeit ist er nur für die US-Version von NT verfügbar. |
| Alle |
Informationen über Web-Sicherheit: J-042, ERS-1999.068
Das CIAC hat eine Zusammenfassung über Sicherheit von Web Servern veröffentlicht.
Öffentliche Web Server sind immer mehr attraktive Ziele für Angreifer, die Unternehmen
schädigen oder politische Meinungen veröffentlichen wollen. Gute aufgesetzte und
betriebene Web Server mindern das Risiko eines Angriffs erheblich. |
| Compaq Tru64/DIGITAL UNIX V4.0B-F |
Potentielle Sicherheitslücke in dtlogin: SSRT0600, ERS-1999.067
Compaq hat eine potentielle Sicherheitslücke in /usr/dt/bin/dtlogin von Compaq's
Tru64/DIGITAL UNIX gefunden, durch die unter bestimmten Umständen normale Benutzer
Superuser-Rechte auf einer Maschine erreichen können.
Zur Beseitigung dieses Problems ist ein Patch
für Tru64/DIGITAL UNIX V4.0B, V4.0D, V4.0E and V4.0F veröffentlicht worden. |
| Alle |
Neues ISS Summary: ISS, ERS-1999.066
ISS berichtet von 14 neuen Sicherheitslücken im letzten Monat:
- oracle-unix-symlinks
- novell-tts-dos
- inn-innconf-env
- inn-pathrun
- sol-lpset
- cde-dtprintinfo
- iis-samples
- http-alibaba-dotdot
- netscape-dirsvc-password
- servu-command-bo
- oracle-oratclsh
- linux-coas
- ie-dhtml-control
- netbsd-svr4
Weitere Informationen sind auf dem Server von ISS zu
finden. |
| Microsoft Windows NT 4.0 |
Sicherheitslücke durch Pufferüberlauf in Help Files: MS99-015, ERS-1999.065,
NTShop
Das Windows Help Utility sucht Hilfe-Informationen für Applikationen und zeigt diese dem
Benutzer an. Diese Informationen werden in verschiedenen Dateitypen gehalten und vom Help
Compiler angelegt. Per Default sind die Hilfe-Dateien im Verzeichnis $WINNT\help
abgelegt, für das lokale Benutzer Schreibrechte haben. Im Help Utility besteht eine
Sicherheitslücke, über die bei speziellen Hilfedateien ein Pufferüberlauf ausgelöst
werden kann. Hierdurch kann der lokale Benutzer beliebigen Code auf der Maschine
ausführen. Diese Sicherheitslücke betrifft vorrangig Workstations, Terminal Server und
andere Maschinen, auf denen sich Benutzer interaktiv einloggen und Hilfedateien
modifizieren können.
Microsoft hat für die US-Version von NT 4.0 einen Hotfix veröffentlicht (X86,
alpha),
der baldmöglichst installiert werden sollte. |
| Microsoft Site Server 3.0 |
AdSamples veröffentlicht ID und Paßwort: NTShop
Bei der Installation des Site Servers kann das Verzeichnis AdSamples angelegt werden,
wodurch die Möglichkeiten der AdServer Komponenten demonstriert werden. Wenn dieses
Verzeichnis frei zugänglich vorhanden ist, kann der Benutzer die Datei zur Konfiguration
des Servers auslesen. Diese enthält unter anderem sensitive Informationen zur SQL
Datenbank wie z.B. Benutzernamen und Paßworte.
Es wird empfohlen, das Verzeichnis AdSamples vom Server zu entfernen. |
| Microsoft Excel 97 |
Sicherheitslücken in der Virus-Warnung: MS99-014, NTShop,
ERS-1999.064
Microsoft Excel 97 warnt Benutzer bei Öffnen einer externen Datei davor, daß diese Datei
potentiell einen Virus oder andere Schadteile enthalten kann. Durch dieses Feature kann
der Benutzer abwägen, ob er die Datei wirklich öffnen möchte. Es sind einige
Möglichkeiten gefunden worden, wie dieser Warnmechanismus umgangen werden kann. Meist
sind es sehr selten genutzte Kommandos, die zur Umgehung des Warnmechanismus genutzt
werden.
Es wird empfohlen, den von Microsoft herausgegebenen Patch zu
installieren. |
| Oracle 8 |
Mehrere Lücken im File System: ISS-026, ERS-1999.062
In Oracle 8 sind mehrere Lücken gefunden worden, die es Angreifern ermöglichen,
Schwachstellen in den Oracle Verwaltungstools auszunutzen. So können Angreifer z.B. ihre
Rechte auf die des Benutzers "oracle" anheben. Dieser Benutzer kontrolliert
normalerweise das gesamte Datenbanksystem. Angreifer können lokal Denial-of-Service
Angriffe durchführen oder beliebig Daten löschen, verändern und anlegen.
Eine genaue Beschreibung des Problems und Lösungsansätze werden im Advisory ausgeführt. |
| Microsoft IIS 4.0 Web Server und Site Server 3.0 |
File Viewers Sicherheitslücke: l0pht, ERS-1999.061,
NTShop,
MS99-013, ERS-1999.063
(Update: ERS-1999.063)
Der Internet Information Server (IIS) 4.0 wird mit Beispieldateien ausgeliefert, aus denen
Web Entwickler den Einsatz von Active Server Pages (ASP) lernen können. Eine dieser
Beispieldateien ist ShowCode.asp, mit der Source Code von Beispielen über den Web Browser
angezeigt werden. In ShowCode.asp findet nur eine ungenügende Überprüfung der Parameter
statt, wodurch beliebige Dateien auf dem Server, auch außerhalb der Document Root
sichtbar sind! Für Produktivserver sollten niemals Beispiele installiert sein, daher
sollte das Verzeichnis /msadc/samples gelöscht werden. Installationen des Site
Servers beinhalten die gleiche Sicherheitslücke. Folgende File-Viewer sind betroffen: ViewCode.asp,
ShowCode.asp, CodeBrws.asp and Winmsdp.exe. Diese Dateien
sollten auf dem Server nicht vorhanden sein. Zusätzlich sollten die Datei- und
Verzeichnisrechte korrekt gesetzt sein.
Für den IIS
und den Site
Server sind Hotfixes erschienen. |
| FTP Serv-U |
Denial-of-Service gegen FTP Serv-U unter NT: NTShop
FTP Serv-U 2.5 kann durch das Absetzen von gültigen Befehlen mit 155 oder mehr Zeichen
vollständig zum Absturz gebracht werden.
Wenn genau 155 Zeichen übergeben werden, stürzt der Server ohne weitere Meldung ab, bei
156 oder mehr Zeichen meldet sich (wenn im NT konfiguriert) Dr. Watson.
Der Server kann z.B. durch Kommandos wie
CWD xxxxxxxxxxxx... [155 characters or more]
zum Absturz gebracht werden. Es wird empfohlen, Version 2.5 oder die neueste Beta zu installieren. |
| Cisco |
Jahr 2000 Kompatibilität der Produkte: Cisco
Ergänzend zur derzeitigen
Jahr 2000 Produkt Kompatibilitätsliste hat Cisco eine Ergänzung mit neuesten
Informationen herausgegeben. |
| Alle |
Verfahren gegen Mail-Spamming: DIB-99:01
Heute machen Massen-Mailings ca. 20 bis 30% der Bandbreite des Internet aus. Das DFN-CERT
hat einen Informationsbulletin über Spam heraugegeben und erläutert hier auch Verfahren,
wie sich Betreiber von Mail-Servern gegen diese Werbeflut per E-Mail schützen können. |
| Caldera Linux |
Risiko in rsync: CSSA-1999:010
Im OpenLinux 1.0, 1.1, 1.2, 1.3, 2.2, in dem rsync-2.3.1 und früher besteht eine Lücke,
durch die per rsync die Attribute und Rechte von Verzeichnissen lokaler Benutzer geändert
werden können.
Es wird empfohlen, das Upgrade-Package (Source) zu
installieren. |
