Meldungen im Dezember 1999
letzte Ergänzung: 03.01.00


Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt. 
Und: Bitte nicht wundern, wenn einige Informationen via FTP geladen werden! Die meisten nachgeladenen Texte sind auf englisch. 
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!
Click here for the 
English version 


Hier geht's zu unserer Suchmaschine für Netzwerksicherheit


System: Kurzbeschreibung und weitere Informationen:
Sun Solaris 2.3 - 2.6, 7, SunOS 4.1.3 - 4.1.4 Risiken in CDE und OpenWindows: Sun Security Bulletin #00192, ERS-1999.204
In der CDE und OpenWindows wurden einige Sicherheitslücken gefunden:
1 - ToolTalk ttsession benutzt einen unsicheren Default-Authentisierungsmechanismus
2 - CDE dtspcd antwortet auf eine dateibasierte Authentifizierung
3 - CDE dtaction: Pufferüberlauf
4 - CDE ToolTalk: Pufferüberlauf in der Bibliothek TT_SESSION
Sun Microsystems empfiehlt die Installation folgender Patches:
Lücke Nr.

OS Version

Patch ID

 
1,4 SunOS 5.7  107893-04  
1,4 SunOS 5.7_x86  107894-04  
1,4 SunOS 5.6  105802-11  
1,4 SunOS 5.6_x86  105803-13  
1,4 SunOS 5.5.1  104489-10  
1,4 SunOS 5.5.1_x86  105496-08  
1,4 SunOS 5.5  104428-08  
1,4 SunOS 5.5_x86  105495-06  
1,4 SunOS 5.4  102734-05
 108636-01
 
1,4 SunOS 5.4_x86  108641-01
 108637-01
 
1
4
SunOS 2.3 1: available in 2 weeks
4: 101495-04
 
1
4
SunOS 4.1.4, 4.1.3_U1 1: available in 2 weeks
4: 100626-10
 
 

CDE Version

OS Version

Patch ID
2
3
1.3 SunOS 5.7  108221-01
 108219-01
2
3
1.3_x86 SunOS 5.7_x86  108222-01
 108220-01
2
3
1.2 SunOS 5.6  108199-01
 108201-01
2
3
1.2_x86 SunOS 5.6_x86  108200-01
 108202-01
2
3
1.02 SunOS 5.5.1, 5.5, 5.4  108205-01
 108289-02 
2
3
1.02_x86 SunOS 5.5.1_x86, 
5.5_x86, 5.4_x86
 108206-01
 108290-03
2
3
1.02 SunOS 5.5, 5.4  108252-01
 108254-01
2
3
1.02_x86 SunOS 5.5_x86, 
5.4_x86
 108253-01
 108255-01
Sun Solaris 2.3 - 2.6, 7 Lücken in sadmind: Sun Security Bulletin #00191, ERS-1999.203, K-013
Im sadmind wurden Lücken gefunden (siehe auch CA-99-16). Sun Microsystems empfiehlt, folgende Patches zu installieren:

OS Version

Patch ID

SunOS 5.7  108662-01
SunOS 5.7_x86  108663-01
SunOS 5.6  108660-01
SunOS 5.6_x86  108661-01
SunOS 5.5.1  108658-01
SunOS 5.5.1_x86  108659-01
SunOS 5.5  108656-01
SunOS 5.5_x86  108657-01
   

AdminSuite Version

Patch ID

2.3  104468-18
2.3_x86  104469-18
viele CERT Advisory über Denial-of-Service Tools: CA-99-17, ERS-1999.202
Es wurden neue Techniken zur Durchführung von Denial-of-Service bekannt. Vergleichbar mit Tribe FloodNet (TFN) ist Tribe FloodNet 2K (TFN2K), näher beschrieben in IN-99-07. Wie TFN ist auch TFN2K zur Durchführung verteilter DoS-Angriffe auf ein einziges Ziel designed. Es arbeitet unver verschiedenen Unix und auch Windows NT.
Zusätzlich ist für MacOS 9 ein neuer Angriff bekannt, durch den ein Angreifer mit nur wenigen Paketen sehr viel Traffic erzeugen (lassen) kann, MacOS 9 wird hier als Verstärker misbraucht. Der Effekt ist ähnlich dem "smurf"-Angriff, beschrieben in CA-98.01.
Weitere Informationen, auch über Gegenmaßnahmen, finden sich hier (pdf-Format).
Microsoft Windows NT 4.0 Patch zur Erhöhung des Zufalls bei TCP Initial Sequenznummern: MS-99.046
Wie bereits berichtet, sind bei Windows NT 4.0 (inkl. SP6) die TCP-Sequenznummern u.U. vorhersagbar. Microsoft hat jetzt eine neue Auflage des Advisories und (US-) Hotfixes herausgebracht und betont, daß diese Patches vom ebenfalls gemeldeten Regressionsfehler nicht betroffen sind.
Es wird empfohlen, die genannten Patches zu installieren:
Windows NT 4.0 SP4 or SP5 ( Intel), q243835sp5i.exe
Windows NT 4.0 SP6 ( Intel), q243835i.exe
Windows NT 4.0 SP4 or SP5 ( Alpha), q243835sp5a.exe
Windows NT 4.0 SP6 (Alpha), q243835a.exe
SCO Unix Verschiedene Sicherheitslücken im SCO OpenServer: SB-99.26
Im SCO OpenServer bis Version 5.0.5 wurden viele neue Sicherheitslücken gefunden, u.a. Pufferüberläufe oder Fehler in Algorithmen. Es besteht die Gefahr, daß Unberechtigte Root-Rechte auf den entsprechenden Maschinen erhalten. Daher wird die Installation der im Advisory genannten Patches dringend empfohlen.
SCO Unix Verschiedene Sicherheitslücken in UnixWare 7.0.0 - 7.1.1: SB-99.23, SB-99.24, SB-99.25, SB-99.27, SB-99.28
In UnixWare sind einige Sicherheitslücken und Pufferüberläufe gefunden worden (z.B. in Mail Clients, Packaging Tools, in.i20dialogd und anderen Utilities). Werden diese Lücken von Angreifern ausgenutzt, besteht die Gefahr, daß sie Root-Rechte auf der Maschine erhalten. Es wird empfohlen, die in den Advisories genannten Patches zu installieren.
Microsoft IE 4.5 und Outlook Express 5.0 für Macintosh Risiken durch HTML Mail Attachments: MS99-060, ERS-1999.201
Im Outlook Express 5 für Macintosh wurde ein Problem gefunden: Das Design sieht vor, daß eine HTML-Mail vom Server auf den Rechner des Benutzers heruntergeladen und dann verarbeitet wird. Attachments sollten erst dann heruntergeladen werden, wenn der Benutzer dieses explizit angibt. Durch eine Lücke im Outlook geschieht dieses allerdings sofort, ohne Eingriff des Benutzers.
Ein zweites Problem betrifft den Internet Explorer 4.5 für Macintosh. Hier sind digitale Zertifikate enthalten, die z.T. am 31.12.1999 ablaufen. Mit einem Patch kann ein Update der Zertifikate durchgeführt werden, ebenso wird die Unterstützung von Zertifikaten nach X.503 V3 installiert. Diese Aktion sieht Microsoft als simples Ersetzen der Zertifikate im IE.
Es wird empfohlen, die entsprechenden Patches zu installieren.
Microsoft IIS 4.0 und Site Server 3.0 Risiko durch Escape Character (%) Parsing: MS99-061, ERS-1999.200
Im RFC 1738 ist spezifiziert, daß Server auch hexadezimale Zeichen akzeptiert werden, sofern sie einem "Escape-Character" (%) folgen. IIS hält diese Spezifikation ein, nur werden auch nicht-hexadezimale Zeichen interpretiert, wodurch es passieren kann, daß ein vollkommen anderer URL angesprochen wird.
Hierdurch können Dateien auf einem Server in "anderer Schreibweise" angesprochen werden, u.U. werden hierdurch Sicherheitsmechanismen von Drittherstellern umgangen.
Für die US-Version hat Microsoft einen Hotfix für Intel und Alpha herausgegeben.
Microsoft IIS 4.0 und Site Server 3.0 Risiken durch Virtual Directory Naming: MS99-058, ERS-1999.199
Befindet sich eine Datei in einem virtuellen Verzeichnis, dessen Name einen legalen Suffix hat, kann es passieren, daß die Server nicht mehr korrekt arbeiten und Sicherheitsmechanismen umgangen werden. Die genannte Lücke hängt von verschiedenen Faktoren wie z.B. dem Dateityp, der angefordert wurde, dem Suffix des Verzeichnisses und der Rechtevergabe auf der Maschine ab. Meist wird die gewünschte Datei nicht geliefert, es kann aber auch dazu kommen, daß der Source-Code einer .ASP-Datei an den Browser geschickt wird.
Die Lücke basiert auf einem Administrationsfehler bzw. auf Produkten wie z.B. den Front Page Server Extensions, die Namen virtueller Verzeichnisse per Default generieren.
Für die US-Version der Server hat Microsoft einen Hotfix herausgegeben Intel, Alpha).
Microsoft SQL Server 7.0 Risiko durch spezielle TDS Packet Header: MS99-059, ERS-1999.198
Wird ein spezielles TDS Paket zu einem Microsoft SQL-Server geschickt, stürzt dieser ab. Microsoft betont, daß hierdurch weder ein unberechtigter Zugriff auf das System, noch auf die Daten in der Datenbank möglich sei. Eine betroffene Maschine kann durch den Neustart des SQL-Servers wieder in den Normalbetrieb gebracht werden. Da dieser Angriff über Port 1433 erfolgt, wird dringend empfohlen, diesen durch eine Firewall zu sperren.
Für die US-Version unter Intel und Alpha ist ein Hotfix verfügbar.
viele Unix Sicherheitslücken im wu-ftpd: suid.01
Eine Zusammenfassung der in der letzten Zeit verstärkt gemeldeten Sicherheitslücken im wu-ftpd ist im Advisory näher ausgeführt.
viele Neues CERT Summary: CS-99-05, ERS-1999.197
Das US-CERT faßt aktuelle Themen zusammen:
- Y2k: Weitere Informationen zum Jahreswechsel sind verfügbar:FAQ, Erwartungen, Y2k Viren und Trojaner, Y2k Statusreports
- Einbruchswerkzeuge für verteilte Systeme: Im November wurde über dieses Thema ein Workshop abgehalten, die Ergebnisse sind jetzt verfügbar.
- Weiterhin rege "Einbruchstätigkeiten": DoS-Tools werden immer mehr auf kompromittierten Maschinen gefunden. Dieses deutet darauf hin, daß auch weiterhin konzentrierte DoS-Angriffe gegen einzelne Systeme drohen. Über eine Lücke in den am-Utils bekommen Angreifer sehr häufig Root-Zugriff auf Systeme. Schließlich werden auch besonders Lücken in den RPC dazu genutzt, Systeme zu kompromittieren.
Windows NT Denial-of-Service durch Malformed Security Identifier Request: MS99-057, ERS-1999.196
Die Windows NT Local Security Authority (LSA) bietet einige Funktionen zur Verarbeitung von Sicherheitsinformationen. Die Funktion LsaLookupSids() dient der Kopplung des Security Identifiers (SID) mit dem Benutzer- bzw. Gruppennamen. Durch einen Fehler werden inkonsistente Argumente nicht korrekt behandelt und der LSA stürzt ab. Die Wiederinbetriebnahme der Maschine ist nur durch ein Rebooten möglich. Eine Filterung von NetBIOS an einer Firewall wird empfohlen, da die Anfrage auch über das Netzwerk gestellt werden kann. Ein (US-) Hotfix ist in dem vorher genannten zur "Syskey Keystream Reuse" Lücke enthalten (x86, alpha).
Windows NT Risiko durch Wiederverwendung des Syskey Keystreams: MS99-056, ERS-1999.194
Syskey ist ein Utility, das die in der SAM-Datenbank gespeicherten Paßworte stark verschlüsseln soll, damit Offline-Angriffe gegen Paßworte möglichst erschwert werden. Der Keystream, der bei der Verschlüsselung zum Einsatz kommt, wird wiederverwendet, daher sind kryptoanalytische Angriffe relativ leicht durchführbar, wenn ein Zugriff auf die SAM-Datenbank oder eine Kopie davon möglich ist. Microsoft hat einen Hotfix für alle (US-) NT-Systeme veröffentlicht (x86, Alpha).
Cisco Cisco Cache Engine Authentication Risiken: Cisco, ERS-1999.195, K-012
Es existieren drei Sicherheitslücken in Verbindung mit der Cisco Cache Engine: Mit der ersten können Unberechtigte beliebige Dateien anstelle der normal gecachten Daten hinterlegen. Diese Inhalte werden den Benutzern angezeigt, wenn sie den betroffenen Cache nutzen. Zweitens besteht darin, daß unberechtigte Personen über das Web Interface der Cisco Cache Engine Performancedaten abrufen können. Als dritte Lücke wird gemeldet, daß Benutzer ohne Angabe eines Namens und Passwortes als gültige Benutzer anerkannt werden. Weitere Informationen über Lücken und Patches finden sich im Advisory.
SuSE Linux Risiken in inn und wvdial: SUSE034, SUSE035
Beim Inter Net News Server inn wird eine mangelhafte Bereichsüberprüfung durchgeführt, wodurch er von außen durch Überfluten der statischen Puffer außer Betrieb gesetzt werden kann.
Wenn für die PPP-Konfiguration das Skript wvdial.lxdialog eingesetzt wird, ist die Datei /var/lib/wvdial/.config mit den entsprechenden Informationen für jeden lesbar. In dieser Datei werden normalerweise auch das Login sowie das Passwort für den Dial-Up gespeichert. Damit kann jeder, der einen Dial-Out machen kann, diese Daten lesen. Beim SuSE-Defaultfile /etc/wvdial.conf besteht dieses Problem nicht.
Es wird empfohlen, die entsprechenden Patches von SuSE's Webpage for Patches zu installieren.
Alle Neues ISS-Summary: ISS, ERS-1999.193
ISS berichtet über 12 neue Sicherheitslücken:
- nt-resource-enum-dos
- sol-snoop-bo
- ie-server-side-redirect
- ie-msradio-bo
- netscape-fasttrack-auth-bo
- qpopper-auth-bo
- solaris-dtmail-overflow
- solaris-dtmailpr-overflow
- unixware-su-username-bo
- unixware-xlock-username-bo
- linux-syslogd-dos (Caldera, Red Hat, SuSE)
- sol-ttdbserverd-dos
Weitere Informationen finden sich auf dem Server von  ISS.
Sun Solaris 2.3 - 7 Pufferüberlauf im Sun Solstice AdminSuite Daemon sadmind: Sun Security Bulletin #00191, CA-99-16, ERS-1999.192, S-99-51, ERS-1999.203, K-013
Das Programm sadmind wird bei Solaris 2.5, 2.6 und 7 per Default installiert. Bei   Solaris 2.3 and 2.4 ist es nur vorhanden, wenn die entsprechenden Sun Solstice Adminsuite Packages installiert sind. Alle Versionen des sadmind sind gegenüber einem Pufferüberlauf empfindlich, wodurch der Stackpointer überschrieben werden kan - auch ohne Benutzung des sadmind-Prozesses. Sadmind läuft unter root, daher hat im Prinzip jeder die Möglichkeit, beliebige Befehle mit Root-Berechtigung auf der Maschine abzusetzen. Es wird dringend empfohlen, den sadmind auszuschalten. Dieses geschieht z.B. durch Entfernen oder Kommentieren folgender Zeile in der Datei /etc/inetd.conf:
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind
Auch wenn der folgende Eintrag nicht gegen den genannten Angriff hilft, sollte die Sicherheitsoption mindestens wie folgt gesetzt sein:
100232/10 tli rpc/udp wait root /usr/sbin/sadmind sadmind -S 2
CERT empfiehlt diese Einstellung dringend, wenn der sadmind weiterhin benutzt werden muß.
Sun Microsystems arbeitet derzeit an einem Patch und empfiehlt bis dahin auch das Ausschalten des sadmind.
HP-UX Sicherheitsrisiko durch VVOS TGP: HP Security Bulletin #00107, ERS-1999.191
Programme, die unter dem VirtualVault setzen als Proxy den Trusted Gateway Proxy (TGP) nicht korrekt ein. Betroffen sind die Systeme HP9000 series 700/800 unter HP-UX 10.24 (VVOS) mit VirtualVault A.03.50, wenn der Patch PHSS_17692 installiert ist. Dann können externe, unpriviligierte Prozesse Zugriff in das interne Netzwerk erhalten. Es wird dringend empfohlen, einen der folgenden Patches zu installieren:
HP-UX 10.24 (VVOS) with VirtualVault A.03.50 (International) PHSS_20476
HP-UX 10.24 (VVOS) with VirtualVault A.03.50 (US/Canada) PHSS_20476
Red Hat Linux Neue linuxconf und Lücken in ORBit, esound und gnome-core: RH1999-058, RH1999-060
ORBit und gnome-session zeigen Lücken in bezug auf Denial-of-Service, ORBit und esound enthalten Sicherheitslöcher. Neue linuxconf Packages sind erhältlich, da in den bisher ausgelieferten einige Bugs gefunden wurden. Es wird empfohlen, die genanntent Updates einzuspielen:
Red Hat Linux 6.x:
Intel:
rpm -Uvh ftp://updates.redhat.com/6.0/i386/linuxconf-1.16r10-2.i386.rpm
rpm -Uvh ftp://updates.redhat.com/6.0/i386/linuxconf-devel-1.16r10-2.i386.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/i386/ORBit-0.5.0-2.i386.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/i386/ORBit-devel-0.5.0-2.i386.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/i386/esound-0.2.17-1.i386.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/i386/esound-devel-0.2.17-1.i386.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/i386/gnome-core-1.0.54-2.i386.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/i386/gnome-core-devel-1.0.54-2.i386.rpm
Alpha:
rpm -Uvh ftp://updates.redhat.com/6.0/alpha/linuxconf-1.16r10-2.alpha.rpm
rpm -Uvh ftp://updates.redhat.com/6.0/alpha/linuxconf-devel-1.16r10-2.alpha.rpm
SPARC:
rpm -Uvh ftp://updates.redhat.com/6.0/sparc/linuxconf-1.16r10-2.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/6.0/sparc/linuxconf-devel-1.16r10-2.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/sparc/ORBit-0.5.0-2.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/sparc/ORBit-devel-0.5.0-2.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/sparc/esound-0.2.17-1.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/sparc/esound-devel-0.2.17-1.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/sparc/gnome-core-1.0.54-2.sparc.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/sparc/gnome-core-devel-1.0.54-2.sparc.rpm
Source:
rpm -Uvh ftp://updates.redhat.com/6.0/SRPMS/linuxconf-1.16r10-2.src.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/SRPMS/ORBit-0.5.0-2.src.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/SRPMS/esound-0.2.17-1.src.rpm
rpm -Uvh ftp://updates.redhat.com/6.1/SRPMS/gnome-core-1.0.54-2.src.rpm
Systeme unter MS Windows Berichte über Würmer und Viren: ERS-1999.005i, ERS-1999.006i, ERS-1999.007i, ERS-1999.008i, ERS-1999.009i
IBM hat einige Informationen über derzeit aktuelle Viren und Würmer veröffentlicht:
W97M/Prilissa:
Dieser Virus für Word 97 Dokumente repliziert sich selber, wenn das SR-1 für Word 97 installiert ist und schaltet die Makrowarn-Funktion von Word 97 aus. Er benutzt den "ThisDocument"-Stream oder Klassenmodule eines Dokumentes bzw. Templates während der Infektion. Er ist eine Abart des W97M/Melissa.a Virus, kann sich also ebenfalls über MS Outlook selbst versenden. Zusätzlich ist ein Schadcode enthalten, durch den am 25.12. die Festplatte von Systemen unter Windows 9x formatiert wird oder aktive Dokumente mit beliebigen Zeichen gefüllt werden.
W32/ExploreZip.worm.pak: Worm.ExploreZip(pack) ist die bereits in K-008 gemeldete Variante des Worm.Explore.Zip.n .
W97M.Melissa.AA:
Eine neue Variante von Melissa ist aufgetaucht, IBM nennt diese W97M.Melissa.AA. Weitere Informationen sollen folgen.
W32.Mypics.Worm:
Dieser Wurm verbreitet sich bei Systemen unter Windows 9x und NT automatisch über E-Mail (MS Outlook Adrebuch) und hat ein "eingebautes Jahr 2000 Problem". Bei diesen E-Mails ist das Subject leer, der Text lautet 'Here's some pictures for you!'. Im angehängten Attachment pics4you.exe (34,304 bytes) befindet sich der Wurm. Wird das Attachment ausgeführt, wird der Wurm speicherresident und verschickt sich an bis zu 50 E-Mail Adressen aus Outlook automatisch. Die Home-Page des Internet-Explorers wird auf den URL http://www.geocities.com/SiliconValley/Vista/8279/index.html gesetzt. Ebenso werden einige Registry-Keys verändert, so daß der Wurm auch nach einem Systemstart wieder aktiv ist.
Zwei "Y2k-Probleme" sind eingebaut: Der Wurm überwacht die Systemzeit und wenn diese auf das Jahr 2000 geht modifiziert er das BIOS. Beim nächsten Systemstart kommt die Fehlermeldung 'CMOS Checksum Invalid', was verhindert, daß der Rechner bootet. Korrigiert werden kann dieses Problem durch Korrektur der Einstellungen direkt im BIOS - aber wenn dieses gemacht wurde, formatiert der Wurm die Festplatte.
W32.Babylonia:
Dieser Virus verbreitet sich hauptsächlich über MIRC (Chat). Alle Teilnehmersysteme der Chat-Runde werden infiziert, wenn sich ein infiziertes System einloggt. Der Virus wird als Y2k Bug-Fix verschickt. Wird diese Datei ausgeführt, werden andere 32-Bit EXE-Dateien infiziert, ebenso die Hilfedateien von Windows. Der Virus versucht, während des Boot-Vorganges folgende Meldung auszugeben:
W95/Babylonia by Vecna (c) 1999
Greetz to RoadKil and VirusBuster
Big thankz to sok4ever webmaster
Abracos pra galera brazuca!!!
- ---
Eu boto fogo na Babilonia!

Er schickt zu "Statistikzwecken" eine E-Mail an 'babylonia_counter@hotmail.com' und besitzt die Fähigkeit, weiteren Schadcode aus dem Internet herunterzuladen. Wird eine Internetverbindung durch den Virus festgestellt, versucht er eine Verbindung zu einem Web Server in Japan aufzubauen. Dadurch ist eine zentrale Verteilung weiterer Viren möglich.
Wir empfehlen, immer die aktuellste Anti-Virus Software einzusetzen und besonders mit E-Mail Attachments sehr vorsichtig umzugehen!
OpenBSD 2.6 Bugs in RSAREF (US-Version), sendmail und poll: OpenBSD-sslUSA, OpenBSD
Im RSAREF-Code der in den USA eingesetzten Version des libssl package (sslUSA) ist eine Möglichkeit zum Pufferüberlauf gefunden worden. Diese besteht, wenn im isakmpd die Features zu SSL/RSA eingeschaltet oder genutzt werden. OpenSSH und httpd (mit -DSSL) sind ebensowenig betroffen wie Benutzer der internationalen Version des ssl26 Packages nutzen.   Weitere Informationen finden sich im Advisory.
Sendmail zeigt bei dem Arbeiten mit Dateien eine Race-Condition, die ebenso wie verschiedene Bug in poll(2) gepatcht werden sollten. Durch die Fehler in poll(2) ist ein Kernel-Crash provozierbar.
viele Pufferüberläufe in SSH Daemon und der RSAREF2 Library: CoreSDI, CA-99-15, ERS-1999.190, S-99-50, K-011
Einige Versionen des sshd sind gegenüber einem Pufferüberlauf empfindlich, über den Angreifer bestimmte Variablen im Programm von außen selber setzen können. Hierdurch ist allerdings kein Code auf dem System ausführbar. Eine weitere Sicherheitslücke ist in RSAREF2 vorhanden, die in Kombination mit dem erstgenannten Fehler Angreifern die Möglichkeit bietet, beliebigen Code mit den Rechten des sshd (normalerweise root) auszuführen.
Welche Systeme betroffen sind und welche Patches installiert werden sollten, ist im CERT-Advisory beschrieben.
Debian Linux 2.1 Risiken in dump, sendmail und htdig: Debian1202, Debian1207, Debian1209
Die in Debian GNU/Linux 2.1 ausgelieferte Version von dump hat Probleme mit der Wiederherstellung symbolischer Links. In Version 0.4b9-0slink1 ist dieses Problem behoben.
Sendmail hat ein Problem in dem Code, mit dem die Alias-Datenbank generiert wird: Es ist jedem Benutzer gestattet, sendmail mit der Option -bi aufzurufen, wodurch die Alias-Datenbank (re-) initialisiert wird. Hierdurch kann u.U. ein Benutzer den normalen Betrieb des Mail-Servers empfindlich stören. Dieser Fehler ist jetzt dadurch behoben, daß nur root und weitere, vertrauenswürdige Benutzer die Alias-Datenbank initialisieren dürfen.
Htdig zeigt beim Aufruf externer Programme für die Verarbeitung von Dokumenten, die nicht im HTML-Format vorliegen, Risiken. Htdig ruft das externe Programm mit dem Dokument als Parameter auf, allerdings wird hierbei keine Überprüfung auf Shell-Aufrufe durchgeführt. So können u.U. Dateien mit Shell-Aufrufen im Dateinamen angelegt und ausgeführt werden, wodurch beliebige Kommandos auf der Maschine ausführbar sind.
Welche Patches installiert werden sollten, ist in den Advisories beschrieben.
Microsoft IIS Angriffe gegen IIS Server über MDAC: IN-99-08
Das US-CERT hat inzwischen einige Reports über Angriffe gegen IIS erhalten, bei denen bereits 1998 diskutierte Sicherheitslücken in MS Data Access Components (MDAC) ausgenutzt werden. Angriffe können im Server-Log durch POST-Zugriffe auf die Datei "/msadc/msadcs.dll" erkannt werden, z.B.:
1999-10-24 20:38:12 - WWW POST /msadc/msadcs.dll 200 1409 664 782 ACTIVEDATA - -
Wird der Microsoft Remote Data Services (RDS) benutzt, dann können diese Befehle legitim sein. Das CERT ruft die Betreiber von IIS auf, die im Microsoft Advisory MS99-025 genannten Schritte zu tätigen um RDS abzusichern bzw. auszuschalten.
HP-UX 11.00 Mehrere Sicherheitslücken im wu-ftp: HP Security Bulletin #00106, ERS-1999.189
Mit HP-UX 11.00 liefert Hewlett-Packard einen ftpd aus, der vom wu-ftpd portiert wurde. Hier besteht die Möglichkeit von Pufferüberläufen und weitere Gefahren. Es wird empfohlen, Patch PHNE_18377 zu installieren. der hier verfügbar ist.
IBM AIX 4.3.x Pufferüberlauf im ftpd daemon: ERS-1999.004i.2
Im ftp Daemon, der mit AIX 4.3.x ausgeliefert wird, ist ein Pufferüberlauf gefunden worden. Hierdurch können Unberechtigte Root-Berechtigung auf dem System erhalten. Jetzt wurde der offizielle Fix IY04477 veröffentlicht (hier), der bisherige, temporäre Fix wird nicht mehr unterstützt.
Microsoft Internet Explorer 4.01, 5 und 5.01 Risiko durch Server-side Page Reference Redirect: MS99-050, ERS-1999.187
Ist auf einem Web Server ein server-side Redirect eingetragen, überprüft der IE nach seinem Sicherheitsmodell die Server-Permissions der neuen Seite. Unter bestimmten, zeitlich geschickt gewählten Umständen ist es für den Server möglich, ein Redirect zu einem Client-Fenster zu machen. Hierdurch ist ebenfalls ein Redirect auf lokale Dateien möglich, wodurch die Sicherheitsmechanismen ausgehebelt sind. Dateien, deren Lage im Verzeichnisbaum bekannt sind, können angesehen werden.
Microsoft hat für die US-Version einen Hotfix veröffentlicht.
Microsoft Windows NT 4.0 Sicherheitslücke durch Malformed Resource Enumeration Argument: MS99-055, ERS-1999.186
Wird ein spezieller Resource Enumeration Request geschickt, der in bestimmter Weise manipuliert ist, kann der Windows NT Control Manager ausfallen. Der primäre Effekt ist, daß Pipes nicht mehr funktionieren. Dieses führt dazu, daß andere Dienste auf dem System ebenfalls nicht mehr funktionieren. Hierdurch stürzt die Maschine zwar nicht ab, der Administrator merkt diesen Angriff u.U. gar nicht. Der Normalzustand kann durch ein Rebooten der Maschine wieder hergestellt werden. Für den Angriff ist IPC notwendig, daher empfiehlt sich, durch eine Firewall NetBIOS-Anfragen abzublocken.
Für die US-Versionen von Windows NT Workstation, Windows NT Server und Windows NT Server, Enterprise Edition ist ein Hotfix erschienen (x86 and alpha). Ein Fix für  Windows NT Server, Terminal Server Edition wird demnächst veröffentlicht.
Solaris 2.3 - 2.6, 7 Pufferüberlauf in snoop: Sun Security Bulletin #00190, ISS-041, ERS-1999.185, ERS-1999.188, K-010, S-99-49
Durch diesen Pufferüberlauf können Angreifer über das Netzwerk priviligierten Zugriff auf eine Maschnine erreichen, die unter Solaris läuft und auf der snoop ausgeführt wird. Diese Sicherheitslücke erlaubt es Angreifern auch, Sicherheitsmechanismen zu umgehen und so auch unberechtigten Zugriff auf eine Firewall unter Solaris zu erhalten während snoop ausgeführt wird! Es wird empfohlen, von einer Firewall aus niemals Netzwerke zu sniffen. Die Installation des entsprechenden Patches wird dringend empfohlen:

System

Patch-ID

SunOS 5.7 108482-01
SunOS 5.7_x86 108483-01
SunOS 5.6 108492-01
SunOS 5.6_x86 108493-01
SunOS 5.5.1 104960-02
SunOS 5.5.1_x86 104961-02
SunOS 5.5 108501-01
SunOS 5.5_x86 108502-01
SunOS 5.4 108490-01
SunOS 5.4_x86 108491-01
SunOS 5.3 108489-01
Alle Denial of Service durch trin00 und Tribe Flood: ISS-040, ERS-1999.184
Durch einen konzentrierten Denial of Service Angriff kann ein Netzwerk durch Fluten mit sehr großen Verkehr lahmgelegt werden. Angreifer installieren die o.g. Tools auf Maschinen, auf denen sie eingebrochen sind und starten dann von vielen dieser Maschinen aus einen konzentrierten und hochwirksamen Denial of Service Angriff auf ein einzelnes Ziel. Es wird empfohlen, die eigenen Maschinen auf die Installation der genannten Tools zu untersuchen. Hierbei helfen auch kommerzielle Tools wie z.B. die Internet Scanner Security SAFEsuite.
viele Unix Pufferüberlauf im qpopper: AusCERT, K-009, S-99-48
Das Programm qpopper ist auf Unix Servern ein Programm, das es Benutzern ermöglicht, über POP3 von ihren Clients aus E-Mails abzuholen. Einige Versionen des qpopper (älter als Version 2.5 bzw. 3.0 beta unterhalb von b22) zeigen die Möglichkeit, über das Netzwerk einen Pufferüberlauf zu provozieren, wodurch Angreifer Root-Rechte auf dem Server erreichen können. Es wird dringend empfohlen, die Systeme auf den aktuellen Stand der Technik zu bringen. Weitere Informationen finden sich in der QPopper FAQ-Liste.
SCO Unix Sicherheitslücken in su, libnsl, tcpip.so, xlock und uidadmin: SB-99.19, SB-99.20, SB-99.21, SB-99.22
In diesen Routinen wurden Sicherheitslücken gefunden, über die Benutzer erhöhte Rechte erhalten können. Verschiedene Sicherheitslücken im Programm su in UnixWare 2.1.3 und 7.0.0 bis 7.1.1, die in der Library iaf begründet sind. Durch die Installation des System Security Enhancement (SSE) Packages SSE039 (ltr) kann es umgangen werden. Ein anderes Paket (SSE041, ltr) löst die Probleme durch libnsl und tcpip.so. Sicherheitsprobleme in xlock der UnixWare 7.0.0 bis 7.1.1 werden durch die Installation von SSE042 (ltr) gelöst. Patch SSE046 (ltr) behebt das Problem in uidadmin, ebenfalls in den Versionen UnixWare 7.0 bis 7.1.1. Ohne diesen Fix können lokale Benutzer Administrationsrechte auf dem System erreichen.
Microsoft IE 5.0 Risiko durch WPAD Spoofing: MS99-054, ERS-183.183
Das im Internet Explorer 5 enthaltene Web Proxy Auto-Discovery (WPAD) Feature ermöglicht es Web Clients, von einem Proxy automatisch die Einstellungen zu laden, ohne daß der Benutzer weitere Angaben tätigen muß. Der hierfür verwendete Algorithmus baut darauf auf, daß der Hostname "wpad" dem Namen vorausgestellt wird. Zuerst wird nach dem Fully Qualified Domain Name gefragt, bei Mißerfolg auch die anderen Kombinationen probiert. Beispielsweise fragen Web Clients in der Domain a.b.microsoft.com erst nach wpad.a.b.microsoft.com, danach wpad.b.microsoft.com, bis schliesslich in der dritten Stufe eine Anfrage über eine Second-Level Domain getätigt wird, die u.U. nicht unter der Verwaltung des Unternehmens ist - ihren Antworten also eigentlich nicht vertraut werden kann. Es besteht die Gefahr, daß ein potentieller Angreifer einen WPAD-Server aufgesetzt hat und beliebige Proxy-Konfigurationsangaben an den Web Client liefert.
Es wird von uns empfohlen, entweder diesen Service nicht zu nutzen oder den IE 5.01 zu installieren, der diese Lücke nicht zeigt. Er ist auch hier verfügbar.
Microsoft IIS 4.0 und Site Servers 3.0 Sicherheitslücke durch Multi-threaded SSL ISAPI Filter: MS99-053, ERS-183.182
Diese Lücke betrifft nur den SSL ISAPI Filter. Der mit dem IIS mitgelieferte Filter unterstützt parallele Nutzung. Wird dieser Modus genützt, kann es durch ein Synchronisationsproblem dazu kommen, daß eine Race-Condition und hieraus resultierend eventuell einiger Text in Form von Klartext kompromittiert werden kann. Diese Konstellation ist nach Microsoft eher selten anzutreffen und sie kann auftreten, wenn eine einzelne User-Session multi-threaded bei sehr hohen Übertragungsraten ist. Es wird empfohlen, die von Microsoft veröffentlichten Patches für Intel und Alpha zu installieren.
Windows Plattformen Neue Variante des ExploreZIP: K-008, S-99-47
Eine Variante des Wurmes ExploreZip Worm (Siehe auch J-047) verbreitet sich derzeit sehr schnell. Dieser Wurm läuft auf allen Windows Plattformen, benötigt allerdings zur Weiterverbreitung Microsoft Outlook oder Exchange. Die neue Variante ist eine speziell gepackte Version des Original-Wurmes und wird derzeit von Anti-Virus Programmen noch nicht erkannt. Der Wurm verbreitet sich als Anhang an E-Mails und setzt von Office- und anderen Dateien die Länge auf 0 Byte, daher ist eine Wiederherstellung dieser Dateien so gut wie unmöglich.
Es wird Empfohlen, auf keinen Fall E-Mail Attachments namens named zipped_files.exe zu öffnen und nach Erscheinen möglichst sofort ein Pattern-Update von Anti-VIren Programmen durchzuführen.
Netscape Enterprise und FastTrack Server Pufferüberlauf bei der Authentisierung: ISS-039, ERS-1999.181
Diese Sicherheitslücke betrifft alle Plattformen, auf denen die genannten Netscpae Server betrieben werden. Anfällig sind der Enterprise Server 3.5.1 bis 3.6SP2 und der FastTrack Server 3.01. Der Pufferüberlauf tritt bei der HTTP Basic Authentication am Server auf. Wird die Authentisierung beim Zugang in ein Verzeichnis oder zur Administration gefordert und als Benutzername oder Passwort ein String mit über 508 Zeichen eingegeben, stürzt der Server ab. Wird bei der Eingabe ausführbarer Code angegeben, so wird dieser als SYSTEM bei NT-Maschinen bzw. Root bei Unix-Maschinen ausgeführt. Daher kann der Angreifer vollen Zugriff auf die Maschine erhalten.
Ein Upgrade der betroffenen Systeme wird empfohlen. Ist dieses nicht möglich, so sollte zumindest der Administrationsport des Servers von außen nicht erreichbar und durch eine Firewall geschützt sein. Lt. Netscape wird der FastTrack Server nicht gepatcht werden, Enterprise Server 3.6 zeigt diesen Effekt auch noch beim gerade erschienenen Service Pack 3. ISS empfiehlt, den gegenüber diesem Angriff sicheren iPlanet Web Server 4.0sp2 zu installieren.

zurück zu den aktuellen Meldungen

© 1999 Dr. Matthias Leu, EDV Beratung für Internet/Intranet, letzte Änderung: 03.01.0016:02 -0000