Meldungen im Dezember 1998

Meldungen im Dezember 1998

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt.
Und: Bitte nicht wundern, wenn einige Informationen via FTP geladen werden! Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Click here for the
English version

NetBSD bis 1.3.2, BSD 4.4 und andere UNIX, die auf diese Version aufbauen

Problem mit dem mmap und anderen Treibern: ERS-143, ESB-98.181
Der Character Device-Treiber des d_mmap hat einen Service-Entry, der von der Page fault Routine angesprungen wird. Er wird benutzt, um das mapping von virtuellen auf physikalische Adressen zu realisieren. Eine Variable, int offset, der d_mmap()-Routine ist Vorzeichen gebunden, viele Treiber der jeweiligen Geräte prüfen dieses Vorzeichen aber nicht. Ein negativer Wert führt so zu unerwünschten Zugriffen oder Abstürzen, da jedes Gerät andere Reaktionen im Fehlerfall zeigt.
Eine Tabelle der verschiedenen Reaktionen sind im o ben erwähnten Bulletin ERS-143 zu finden.
Da dieses Problem von 4.4 BSD geerbt wurde, ist es möglich, daß auch andere, auf 4.4BSD aufbauende UNIXe dieses Problem haben.

Windows NT 4.0 (Workstation, Server, Enterprise Edition, Terminal Server Edition)

Named Pipes über RPC können für Denial of Service genutzt werden: ERS-144, MS98-017, ESB-98.180
Das Problem entsteht durch die Art und Weise wie Windows NT 4.0 versucht ungültige named pipe RPC-Verbindungen zu schliessen. Ein Angreifer kann mehrere named pipes öffnen, über die er zufällige Daten schickt. Wenn nun Windows NT versucht diese ungültigen Pipes zu schließen, kann es dazu kommen, daß dieser Vorgang alle Systemressourcen (CPU und Speicher) benutzt und somit ein Denial of Service erreicht ist.
Folgender Artikel der Microsoft Knowledge Base beschreibt das Problem: Q195733
Microsoft bietet einen Patch (HotFix) für dieses Problem an:

x86	WindowsNT 4.0 Workstation- und Serverversionen, außer Terminalserver
Alpha	WindowsNT 4.0 Workstation- und Serverversionen, außer Terminalserver
Terminalserver	Noch kein Patch verfügbar

IRIX 6.2 bis 6.5.1

Im automatisch installierten autofsd(eamon) ist eine Sicherheitslücke entdeckt worden, die root-Zugriffe ermöglicht: ERS-145, RSI.0010, ESB-98.182, ESB-98.187
Dieses Sicherheitsproblem wurde in den einschlägigen Newsgruppen heftig diskutiert. Es bietet über dss Netzwerk mittels wohlgestalteter Pakete den root-Zugriff auf das betroffene System.
Patches sind zwischenzeitlich auf dem öffentlich zugänglichen Server von SGI erhältlich:
sgigate.sgi.com, dort unter ~ftp/security und ~ftp/patches.
Falls es momentan nicht möglich ist, den jeweiligen Patch einzuspielen, empfiehlt SGI den autofsd auszuschalten. Eine Anleitung dazu erhalten Sie unter: ERS-145
Siehe dazu auch http://techpubs.sgi.com/library und dort dem ONC3/NFS-Administrator.

HP-UX

Für das im November gemeldete Problem mit undokumentierten SNMP-Community Strings gibt es zwischenzeitlich Patches: HP Security Bulletin #00088, ERS-146, ESB-98.183, ESB-98.190, J-022
Bitte entnehmen Sie weitere Informationen diesem Bulletin.
Ebenso ist das Mail-Spamming Problem bei diversen sendmail releases unter HP-UX gelöst (ERS147, ESB-98.185, J-022), für die Betriebssysteme Ver. 10.20, 10.30, 11.0, sowie Upgrades für die Versionen 10.00, 10.01 und 10.10 auf sendmail version 8.8.6:
http://www.software.hp.com/software/HPsoftware/Sendmail/index.html
Ebenso sind zwischenzeitlich Patches verfügbar, für die Sicherheitsprobleme der remote-commands: remshd, rexecd, rlogind, rlogin, remsh, rcp, rexec und rdist: ERS-148, J-022
Bitte entnehmen Sie weitere Informationen disem Bulletin.

IRIX 6.4, 6.5 und 6.5.1 auf Origin und Onyx2 Maschinen

Der fcagent Deamon unter IRIX 6.4 und höher ermöglicht auf der Origin und der Onyx2-Plattform, auch übers Netzwerk, einen DoS auszulösen: S-98-78, ERS-149, J-020
SGI-intern wurde entdeckt, daß eine Sicherheitslücke dazu benutzt werden kann, den FibreVault abzuschalten.
Patches sind zwischenzeitlich auf dem öffentlich zugänglichen Server von SGI erhältlich:
sgigate.sgi.com, dort unter ~ftp/security und ~ftp/patches.
Falls es nicht möglich ist, den jeweiligen Patch momentan einzuspielen, empfiehlt SGI den fcagent-Deamon zu disablen. Eine Anleitung dazu erhalten Sie hier: ERS-149

Microsoft Excel

Microsoft meldet, daß mittels der call-Funktion, innerhalb von Worksheets, ohne vom Anwender bemerkt zu werden, weitere Funktionen aufgerufen werden können: ERS-150, MS98-018, ESB-98.188
Enthält diese aufgerufenen Funktion sogenannten "malicious"-Code, kann sehr vieles unbemerkt ausgelöst werden.
Microsoft empfiehlt den zur Verfügung stehenden Patch (hotfix) zu installieren, bittet dabei aber zu beachten, daß das Problem durch das vollständige Ausschalten der call-Funktion innerhalb von Worksheets (nicht innerhalb von Makros) erreicht wird. Der Anwender sollte sich also vor Installation des Patches darüber im klaren sein, ob er das möchte.
Folgender Artikel der Microsoft Knowledge Base beschreibt das Problem: Q196791
Microsoft bietet einen Patch (HotFix) für dieses Problem an:
http://support.microsoft.com/support/articles/q196/7/91.asp

General

Und wieder einmal ein CERT Summary: CS-98.08, ESB-98.189, ERS-151
Seit dem letzten Summary im August 1998 lassen sich folgende Trends aus den gemeldeten Einbrüchen ableiten:
1. Die Sicherheitslücke des mountd, vor allem auf Linux-Maschinen, ermöglicht auch remote-Anwender eventuellen root-Zugriff.
Weitere Informationen: CA-98.12
2. Das Trojan Horse Back Orifice breitet sich immer weiter aus. Der überwiegende Teil der Meldungen berichtet allerdings "nur" von Portscans.
Weitere Informationen: VN-98.07
3. Mit der Zeit werden auch die Tools immer ausgereifter, die entdeckte Sicherheitslücken benutzen. Dazu gibt es immer mehr Meldungen.
Beachten Sie bitte den CERT- Bericht vom 2. July diesen Jahres (1998): IN-98.02
4. Wesentlich seltener werden von Scans berichtet, die mittels Scripte viele dieser scan-tools zu einem zusammenfassen. Somit werden automatische Scan-Sitzungen ermöglicht, die im Prinzip jede Plattform und jede Sicherheitslücke automatisch abprüfen. Der Hacker braucht keine genaueren Kenntnisse über das System in das er einbrechen möchte
Beachten Sie bitte: IN-98.06
5. Einige wenige Berichte sind eingeangen, die von sogenannten stealth-Scans berichten. Durch geeignete Massnahmen macht sich der Angreifer unkenntlich. Weitere Information: IN-98.04

FreeBSD bis zum 26.10.1998

IP Packet Fragmentation führt bei FreeBSD durch einen Fehler im Kernel zu Denial of Service, bzw. zu Kernel Panics: ESB-98.169
Vor allem mit älterer Hardware kann es zu Beschränkungen der Größe von IP-Paketen kommen. Für diesen Fall hat jeder TCP/IP-Stack Routinen vorgesehen, die fragementierte Pakete an den Peer weiterschicken können, als auch Routinen, die fragmentierte Pakete die von einem Peer kommen wieder zum Orginal zusammensetzen können. Aufgrund eines Bugs in dieser Routine, kann es bei speziell aufgebauten Paketen zu Systemabstürzen kommen.
Für diesen Fehler gibt es bereits öffentlich zugängliche Tools, außerdem wurde er in den Newsgruppen diskutiert. Eine Lösung wird auf dem oben angegebenen Bulletin beschrieben.

CISCO IOS DFS
Family 7xxx

Die distributed fast switching Funktionalität, die in der 7xxx-Serie enthalten ist, führt trotz des Verbotes durch entsprechende Access-Listen dazu, daß IP-Pakete durchkommen: ESB-98.170
Zwei voneinander unabhängige Sicherheitslücken mit den IDs, CSCdk35564 und CSCdk43862, ermöglichen bei bestimmten Konfigurationen, die nicht zu oft anzutreffen sind, aber auch nicht ausgeschlossen werden können, daß eine Verbindung möglich wird,obwohl sie durch entsprechende Accesslisten verboten ist.
Bitte konsultieren Sie das oben erwähnte Bulletin für weitere Informationen, vor allem eine ausführliche Beschreibung der Voraussetzungen unter denen dieser Fehler auftritt: ESB-98.170

Red Hat Linux 4.2, 5.0 und 5.1

Red HAT Linux 4.2 und vorher, alle Versionen die libc 5 packages benutzen

Red HAT Linux

Der skylogd enthält einen buffer overflow: ESB-98.175.
Obwohl noch keine Probleme bekannt sind, die dadurch entstehen könnten, sind hier die Patches, die mögliche Angriffe von vorneherein unmöglich machen:
Red Hat Linux 4.2:
==================
alpha: rpm -Uvh ftp://updates.redhat.com/4.2/alpha/sysklogd-1.3-16.alpha.rpm
i386: rpm -Uvh ftp://updates.redhat.com/4.2/i386/sysklogd-1.3-16.i386.rpm
sparc: rpm -Uvh ftp://updates.redhat.com/4.2/sparc/sysklogd-1.3-16.sparc.rpm
Source rpm: rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/sysklogd-1.3-16.src.rpm
Red Hat Linux 5.0, 5.1 and 5.2:
===============================
alpha: rpm -Uvh ftp://updates.redhat.com/5.2/alpha/sysklogd-1.3-26.alpha.rpm
i386: rpm -Uvh ftp://updates.redhat.com/5.2/i386/sysklogd-1.3-26.i386.rpm
sparc: rpm -Uvh ftp://updates.redhat.com/5.2/sparc/sysklogd-1.3-26.sparc.rpm
Source rpm: rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/sysklogd-1.3-26.src.rpm

Red HAT Linux 5.2

In der Red HAT Linux Distribution 5.2 ist die Samba Version samba-1.9.18p10-3 enthalten. Das Problem entsteht durch die Zugriffsrechte des Programms /usr/sbin/wsmbconf. Es ist für alle Anwender mit den Gruppenrechten von root ausführbar: ESB-98.176
Als Sofortmaßnahme wir empfohlen dieses File aus dem System zu entfernen: rm -f /usr/sbin/wsmbconf oder eines der folgenden updates zu benutzen:
Red Hat Linux 5.2:
==================
alpha: rpm -Uvh ftp://updates.redhat.com/5.2/alpha/samba-1.9.18p10-4.alpha.rpm
i386: rpm -Uvh ftp://updates.redhat.com/5.2/i386/samba-1.9.18p10-4.i386.rpm
sparc: rpm -Uvh ftp://updates.redhat.com/5.2/sparc/samba-1.9.18p10-4.sparc.rpm
Source rpm: rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/samba-1.9.18p10-4.src.rpm

Red HAT Linux bis 5.2

Die eben gerade gemeldete Sicherheitslücke muß auf alle Versionen von Red HAT Linux bezogen werden. Hier also zusätzlich die entsprechenden Fixes:
Red Hat Linux 4.2:
==================
alpha: rpm -Uvh ftp://updates.redhat.com/4.2/alpha/samba-1.9.18p10-0.alpha.rpm
i386: rpm -Uvh ftp://updates.redhat.com/4.2/i386/samba-1.9.18p10-0.i386.rpm
sparc: rpm -Uvh ftp://updates.redhat.com/4.2/sparc/samba-1.9.18p10-0.sparc.rpm
Source rpm: rpm -Uvh ftp://updates.redhat.com/4.2/SRPMS/samba-1.9.18p10-0.src.rpm
Red Hat Linux 5.0, 5.1 and 5.2:
===============================
alpha: rpm -Uvh ftp://updates.redhat.com/5.2/alpha/samba-1.9.18p10-5.alpha.rpm
i386: rpm -Uvh ftp://updates.redhat.com/5.2/i386/samba-1.9.18p10-5.i386.rpm
sparc: rpm -Uvh ftp://updates.redhat.com/5.2/sparc/samba-1.9.18p10-5.sparc.rpm
Source rpm: rpm -Uvh ftp://updates.redhat.com/5.2/SRPMS/samba-1.9.18p10-5.src.rpm

Microsoft Windows Systeme mit IIS oder Windows Scripting System

Ein relativ geringes Risiko geht von den neuen HTML-Viren aus, die zwischenzeitlich entdeckt wurden: J-018
Eine lokal vorhandene WEB-Page kann von dem neuen Virentyp infiziert werden. Dazu werden die Scripting runtime Libraries genutzt.
Eine genaue Beschreibung, vor allem auch die Historie hinter dieser Sicherheitslücke, finden sie auf dem oben genannten Security Bulletin von CAC.
Ein Schutz dagegen ist möglich:
1) Falls Sie für Ihre aktiven WEB-Pages die Funktionalität der Scripting runtime Libraries benötigen, z.B. für Datenbankabfragen, so achten Sie darauf, daß ihr Virenscanner vorhanden und immer auf dem neuesten Stand ist.
2) Falls Sie auf die gebotene Funktionalität verzichten können, löschen Sie die genannten Libraries aus Ihrem System. Suchen Sie nach folgender DLL und entfernen Sie diese aus Ihrem System:
$WINDIR\system32\scrrun.dll
Zur Überprüfung Ihres Systems können Sie die folgende HTML-Page auf ihrem System laufen lassen:

------------------------cut here--------------------------
<html>
<head>
<title>HTML Virus Vulnerability Test</TITLE>
</head>
<body>
<H1>Listing Of The Root Directory</H1>
<P> This web page will list the files in your root directory if the
Scripting Run-time Library is installed and registered. If it is not
installed and registered, this web page generates a script error.
<P><B>Files In The Root Directory (\)</B><BR>
<script language="VBScript">
<!--

'This code should create a file system object, open the root file system
'of the current drive and display the list of files found there in the
'web page. If the Scripting Run-time Library is not installed, this
'script will fail on the line containing "CreateObject".

Dim fso, f, f1, fc
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.GetFolder("\")
Set fc = f.Files
For Each f1 in fc
document.write f1.name & "<br>"
Next

-->
</script>

</body>
</html>
------------------------cut here--------------------------

Die Tips stammen aus dem Security Bulletin J-018 von CAC.

Alle intelligenten Peripherie-Geräte, wie Drucker, Scanner, Fax-Geräte etc.

Bei Überlegungen zur Netzwerksicherheit bleibt genau diese Gruppe von Geräten oft unbeachtet: intelligente Peripheriegeräte. Meist sind es eigenständige Computer, auf denen teilweise normale Betriebssystem laufen, wie SunOS etc.: J-019
Einige Beispiele:
Codonics NP-1600 Printer:
Dieser Drucker arbeitet mit einem SPARC-Board unter einem SOLARIS Derivat. Das bedeutet, es sind bestimmte Dienste aktiviert, es gibt user mit (oft eben ohne) Passwörter etc. Das bedeutet, daß unter Umständen diverse seit langem bekannte und gefixte sicherheitsrelevante Bugs vorhanden sind.
Die Gefahr durch solche Geräte ist hauptsächlich darin zu sehen, daß Angreifer sensible Informationen an der Quelle abgreifen können; oder, im Falle von FAX-Geräten, sie das Tor von der Aussenwelt ins firmeninterne Netz bedeuten. In diesem Falle nützt auch die gutgewartete und profund überwachte Firewall am Übergang zum Internet nichts mehr.
Im vorliegenden Fall hat der Drucker inet- sowie RPC-Dienst laufen. Ebenso gibt es Accounts, die firmenseitig ohne Passwort ausgeliefert werden. Nach Erhalt dieser Infos scannte man bei CIAC einen Drucker dieses Typs und erhielt folgende Ergebnisse:
inet daemons:
port type and status
7     (echo) is running.
9     (discard) is running.
13    (daytime) is running.
19    (chargen) is running.
21    (ftp) is running.
23    (telnet) is running.
37    (time) is running.
79    (finger) is running.
111   (sunrpc) is running.
512   (exec) is running.
513   (login) is running.
514   (shell) is running.
515   (printer) is running.
540   (uucp) is running.
741   (UNKNOWN) is running.
rpc daemons:
    program     vers    proto   port
    100000      4       tcp     111 portmapper
    100000      3       tcp     111 portmapper
    100000      2       tcp     111 portmapper
    100000      4       udp     111 portmapper
    100000      3       udp     111 portmapper
    100000      2       udp     111 portmapper
    100087      10      udp     32772
    100011      1       udp     32773 rquotad
    100002      2       udp     32774 rusersd
    100002      3       udp     32774 rusersd
    100012      1       udp     32775 sprayd
    100008      1       udp     32776 walld
    100001      2       udp     32777 rstatd
    100001      3       udp     32777 rstatd
    100001      4       udp     32777 rstatd
    100068      2       udp     32778
    100068      3       udp     32778
    100068      4       udp     32778
    100083      1       tcp     32771
    200 1       udp     740
    200 1       tcp     741

HP Jet Direct Printer
Erst kürzlich wurde von einem Drucker dieser Bauart berichtet, der von einem Hijacker übernommen worden war. Alle Druckjobs wurden von der Person an einen Drucker im Internet umgeleitet.
Erscheint Ihr Drucker bereit um Druckjobs entgegenzunehmen, druckt er aber nicht, prüfen Sie bitte die Server IP-Adresse durch folgende Schritte im HP Jet Admin Tool:
1) Select "Device"
2) Select " Properties"
3) Select "Diagnostics" Tab
4) Select "TCP/IP"
5) Select "General"
Nun sollten Sie die "Server Adress" sehen. Entspricht diese Adresse nicht der Maschine von der Sie sich gerade verbunden haben, so beenden Sie die bestehende Verbindung und aktivieren Sie wieder die Druck-Queue neu. Schützen Sie ihren Drucker künftig, indem Sie das Device mit einem Passwort belegen.

Generell
Grundsätzlich können Sie die Drucker in Ihrem Netz mit einem kleinen Portscanner überprüfen, welche Dienste Sie anbieten. Versuchen Sie die gefundenen Lücken zu schließen, indem Sie die nicht benötigten Dienste einfach disablen, oder deren Veränderung durch geeignete Passwörter schützen.

Diverse Patches für SunOS

Mehrere erst kürzlich bekannt gewordene Buffer Overflows im gerne benutzten dtmail von Sun Solaris können nun durch die entsprechenden Patches geschlosssen werden: SUN Security Bulletin #00181, ESB-98.193, S-98-76, ERS-153, J-021
Die kürzlich berichteten Sicherheitslücken im rdist-Befehl unter SUN SOLARIS, durch die ein Unbefugter Anwender root Access erreichen kann, können ebenfalls mittels der im SUN Security Bulletin #00179 bezeichneten Patches geschlossen werden.

BIND-Patch für Sun Solaris

Im CERT-Advisory CA-98.05 (I-044a) wurden vor ein paar Monaten drei extrem problematische Sicherheitslücken in den aktuellen BIND-Distributionen beschrieben, mittels derer root-Access aus dem Internet erreicht werden kann. Zusätzlich zu diesem Problem wurde auch gleich ein Tool bekannt, das genau diese Lücken nutzte und es auch einem unerfahrenem Angreifer ermöglichte diese Lücken zu nutzen: SUN Security Bulletin #00180, ESB-98.192, S-98-77, ERS-152
Betroffen sind alle Solaris (bzw. SunOS) Versionen ab 2.3. Mit den im Security Bulletin von SUN beschriebenen Patches können diese Sicherheitslücken geschlossen werden.

IRIX und UNICOS, zusätzlich:
Sun Solaris 2.3 - 2.6, SunOS 4.1. und 4.1.3_U1,
HP-UX 10.10 - 11.00,
IRIX 5.3 - 6.4,
AIX 4.1.x - 4.3.x,
TriTeal CDE - TED bis V. 4.3,
Xi Graphics Maximum CDE v1.2.3

Es wird von Sicherheitslücken im ToolTalk RPC-Service unter IRIX berichtet: NAI-29, CERT CA-98.11, ESB-98.179, ERS-142, SGI-9981101, S-98-78
Ein Stack Overflow ermöglicht einem Eindringling eigenen ausgewählten Programmcode auf eine ToolTalk Server laufen zulassen. Da ToolTalk mit root-Rechten läuft, laufen auch diese Befehle im Super-User Mode ab. Es sind bereits Angriffe im Internet belkannt geworden.
Bisher sind noch kaum Herstellerreaktionen bekanntgeworden.
Silicon Graphics:
Silicon Graphics empfiehlt, den rpc.ttdbserverd zu disablen. Eine Anleitung hierzu finden Sie in jedem der oben genannten Bulletins.
Diese Empfehlung dürfte wohl auch für alle anderen Systeme sinnvoll sein.

Sun Solaris
2.3 - 2.6 (SPARC und X86)

Das Kommando passwd verändert, wie bekannt Passwörter und deren Attribute. In diesem Kommando wurde eine Sicherheitslücke entdeckt, mittels derer ein Anwender einen Denial of Service erreichen kann: SUN Security Bulletin #00182, ESB-98.194, S-98-79, ERS-154, J-021
Folgende Patches lösen das Problem:

Operating System	Patch ID
Solaris 2.6	106271-04
Solaris 2.6_x86	106272-04
Solaris 2.5.1	104433-09
Solaris 2.5.1_x86	104434-08
Solaris 2.5	103178-09
Solaris 2.5_x86	103179-09
Solaris 2.4	101945-60
Solaris 2.4_x86	101946-53
Solaris 2.3	101318-91

zurück zu den aktuellen Meldungen