Meldungen im September 1998

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt.
Und: Bitte nicht wundern, wenn einige Informationen via FTP geladen werden! Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!		   Click here for the
English version
Microsoft Windows NT Denial-of-Service durch "Snork"-Angriff: MS-98-014, ISS-09, ERS-111, J-001
Nach einem Bericht von IIS ist es für einen Angreifer möglich, gefälschte RPC-Datagramme an Port 135/udp an eine Maschine zu senden. Damit sieht es so aus, als ob ein RPC Server falsche Daten gesendet hat. Ein Angreifer kann so mit einem minimalen Aufwand das NT-Zielsystem dazu bringen, ein CPU-Last von 100% für eine unbegrenzte Zeit zu verbrauchen.
Der zweite Server (gefälschte IP Absenderadresse) schickt ein 'reject'-Paket, das vom ersten Server wiederum mit einem 'reject' beantwortet wird. Hierdurch entsteht eine Schleife, die mehrere Minuten andauern kann.
Es sollten die von Microsoft herausgegebenen Patches installiert werden:
Fix für Windows NT 4.0 x86, Windows NT 4.0 Alpha, Windows NT Server 4.0, Terminal Server Edition (demnächst verfügbar)
Microsoft Windows Unbeabsichtigter Einbau von Hintertüren durch Tools: ISS-08; ESB-98.145, ERS-109
Neben BoSniffer (s.u.), durch das Back Orifice auf Systemen unter Windows 95 und 98 installiert wird, ist ein weiteres Tool aufgetaucht, mit dem die Fernsteuerung von Maschinen möglich ist: NetBus. Es funktioniert auch unter Windows NT. Wie die genannten Programme entdeckt und vom System entfernt werden können, ist im Advisory beschrieben.
Cisco Denial-of-Service: PIX and CBAC Fragmentation Attack: Cisco, ESB-98.145, ERS-110
Weder Cisco's PIX Firewall noch das Context-Based Access Control (CBAC) Feature von Cisco's IOS Firewall Feature Set schützt interne Hosts gegen bestimmte Angriffe mit fragmentierten IP Paketen. Die Gefahr eines direkten Einbruchs besteht nicht, wohl ist aber ein Denial-of-Service Angriff auf diese Hosts trotz Firewall möglich.
Betroffen hiervon ist die Cisco PIX Firewall Software Bis einschließlich Version 4.2(1), CBAC-Versionen von Cisco IOS Software von 11.2P und 11.3T. Die ersten Versionen von 12.0 CBAC sind ebenfalls betroffen.
Im Advisory wird auf herausgegebene Patches und weitere Workarounds hingewiesen.
Solaris 2.3 - 2.3, SunOS 4.1.x Sicherheitsrisiko durch MIME-Attachments: SUN Security Bulletin #00175, S-98-58, ERS-108, ESB-98.143
Wie bereits früher berichtet wurde (CA-98.10) besteht für viele Unix die Möglichkeit eines Pufferüberlaufes mti allen Folgen durch den Einsatz von MIME-fähigen Mail und News Programmen. Sun Microsystems hat inzwischen Patches herausgebracht, die das Mailtool dagegen absichern.
Solaris 2.3 - 2.3, SunOS 4.1.x Sicherheitsrisiko durch ping: SUN Security Bulletin #00174, I-092, S-98-57, ERS-107, ESB-98.142
Im Programm ping ist eine Möglichkeit gefunden worden, einen Pufferüberlauf zu prvozieren, durch den lokale Benutzer Administrationsrechte auf der Maschine erreichen können. Es wird empfohlen, die im Advisory genannten Patches zu installieren.
Cisco PIX Lücke im Cisco PIX Firewall Manager (PFM): Cisco, ERS-105, ESB-98.144
Die Cisco PIX Firewall wird mit einer Managementsoftware ausgeliefert (PIX Firewall Manager). PFM ist einer Web-basierte Anwendung und umfaßt auch einen eingeschränkten HTTP Server, der unter Windows NT läuft. Durch eine Sicherheitslücke in diesem Server kann ein Angreifer, der sich direkt mit dem Server verbinden kann, beliebige Daten von der Windows NT Maschine abrufen - vorausgesetzt, er kennt den Dateinamen. Diese Gefahr gilt besonders für Angriffe aus dem internen Netzwerk, da normalerweise Port 8080 auf die Management-Maschine von außen nicht erlaubt ist (Einsatz des PIX Firewall).
Welche Versionen betroffen und welche Patches zu installieren sind, kann dem Advisory entnommen werden.
Microsoft Internet Explorer Sicherheitsrisiko durch Cross Frame Navigation: MS98-013, c't, ERS-106
Im Cross Frame Navigate ist eine Sicherheitslücke gefunden worden, durch die ein Angreifer die bei IE eingestellten Sicherheitsfeatures umgehen kann. So kann z.B. von einem Web Server aus der Inhalt der Dateien auf der lokalen Platte des Benutzers ausgelesen werden. Eine Demo hierzu kann im Internet ausprobiert werden.
Die hiervon betroffenen Versionen des IE sind:
- Microsoft Internet Explorer 4.0, 4.01 and 4.01 SP1 on Windows NT 4.0, Windows 95
- Microsoft Windows 98, with integrated Internet Explorer (version 4.01 SP1)
- Microsoft Internet Explorer 4.0 and 4.01 for Windows 3.1 and Windows NT 3.51
- Microsoft Internet Explorer 4.0 and 4.01 for Macintosh
- Microsoft Internet Explorer 3.x
Zuerst sollte ein Update auf die aktuellste Version des IE durchgeführt und dann der entsprechende Patch installiert werden.
First, an update to the latest version of the IE should be carried through. Then a should be installed. Benutzer von Windows 98 können auch den Patch über das Windows Update erhalten.
Weitere Informationen zu dieser Lücke sind im Advisory und hier zu finden.
HP-UX 10.x, 11.00 Sicherheitslücken in dtmail und rpc.ttdbserverd: HP Security Bulletin #00084, I-090, ESB-98.140, ERS-100
In den Programmen dtmail und rcp.ttdbserverd sind Möglichkeiten gefunden worden, durch die Pufferüberläufe mit den bekannten Folgen provoziert werden können. Die genannten Programme gehören zur CDE. Die Risiken bestehen auch, wenn die CDE nicht aktiviert ist. Auf HP9000, Serien 7/800 sollten folgende Patches installiert werden:
HP-UX 10.10 PHSS_16150
HP-UX 10.20 PHSS_16147
HP-UX 10.24 PHSS_16197
HP-UX 10.30 PHSS_16151
HP-UX 11.00 PHSS_16148
viele Unix Sicherheitsrisiko durch ToolTalk: NAI-29, CA-98.11, ESB-98.141, S-98-56, ERS-103, I-091
Mit ToolTalk können Anwendungen verschiender Hersteller miteineander kommunizieren, indem sie ToolTalk Nachrichten untereinander austauschen. Der ToolTalk Datenbankserver (rpc.ttdbserverd) ist ein ONC RPC Service, der die für den Betrieb des ToolTalk Services notwendigen Objekte managed. Durch das Senden falscher RCP Messages an diesen Server kann dazu führen, daß an diesem ein Stacküberlauf eintritt. Dadurch kann ein Angreifer vollständige Kontrolle über den Serverprozeß bekommen. Da der Server bei den meisten kommerziellen Unix unter root läuft ist auch die vollständige Kontrolle über die Maschine prinzipiell möglich.
Bis Patches von den verschiedenen Herstellern herausgegeben werden, wird dringend empfohlen, den Prozeß rpc.ttdbserverd zu deaktivieren und ihn auch aus den Startskripten zu entfernen.
Windows 95 and 98 Back Orifice Entfernungsprogramm BoSniffer.zip ist ein Trojanisches Pferd: NTshop, c't
Es wird berichtet, daß das Programm BoSniffer.zip angeblich nach installierten Versionen von Back Orifice (BO) sucht und gleichzeitig Änderungen in der Registry vornimmt, damit BO nicht mehr arbeiten kann. In Wirklichkeit ist BoSniffer.zip selber ein BO Server, der das SpeakEasy Plugin enthält. Derzeit wird dieses Programm als Mittel gegen BO über das Internet, aber auch in Programmpaketen verbreitet. Es kann u.U. anders heißen. Es wird dringend empfohlen, BO von Hand zu deinstallieren! Bei ISS findet sich hierzu eine Beschreibung.

zurück zu den aktuellen Meldungen

© 1998 Dr. Matthias Leu, EDV Beratung für Internet/Intranet, letzte Änderung: 18.10.98, 20:20 +0200