s c i p a g Contents 1. Editorial scip monthly Security Summary

Transkript

1 scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Interview 6. Kreuzworträtsel 7. Literaturverzeichnis 8. Impressum 1. Editorial Lord of Cyberwar Zugegeben, Filme, bei denen Nicolas Cage eine der Hauptrollen übernimmt, verlangen dem Zuschauer eher selten intellektuelle Höhenflüge ab. Doch der Streifen Lord of War (5) hat mich in der Hinsicht wirklich positiv überrascht. Ein sozialkritischer Film, der ein Höchstmass an politischer und kultureller Brisanz aufweist und diese gekonnt halt in typischer HollywoodManier inszeniert. Im Film schlüpft Cage in die Rolle eines ukrainischen Einwanderers, der ein tristes Leben in den Vereinigten Staaten führt. Sodann entschliesst er sich, ein kleines Stück vom Kuchen der unbegrenzten Möglichkeiten abzubekommen, indem er mit dem Handeln von Waffen beginnt. Zunehmends wird er zu einem grossen Fisch im internationalen Business, bedient Diktatoren und Freiheitskämpfer aller Couleur mit AK47 und Granaten. Als sein Doppelleben von seiner Frau durchschaut und von seinem Bruder angezweifelt wird, beginnt auch er die Zwistigkeit seines Schaffens in Frage zu stellen. In der Tat vermag der Film die Kritik am "Verticken" von Waffen wirtschaftlich zu entwerten. Waffen töten eigentlich nicht, denn der Mensch ist derjenige, der den Abzug zieht. Waffen sind ein Werkzeug, dessen Nutzen sich einzig und allein an ihrem Einsatzgebiet orientiert. Denn schliesslich können sie auch zur Verteidigung eingesetzt werden. Zugleich wird aber auch ethisch an eben jenen zwielichtigen Bestrebungen gerüttelt. Ein ähnliches Problem, glücklicherweise nicht von der gleichen Tragweite, ist im Bereich der Computersicherheit immerwieder Gegenstand heftiger Diskussionen. Der Austausch brisanter Informationen, wie Computersysteme übernommen oder zum Absturz gebracht werden können, können in einer Informationsgesellschaft ebenfalls als "Waffe" klassifiziert werden. Denn dieses Wissen hat schon so manchem wirtschaftliche Vorteile oder Schaden gebracht. In den schlimmsten Szenarios des Cyberwars wäre es auch denkbar, dass durch Angriffe auf Computersysteme Menschenleben in Gefahr gebracht werden können (z.b. Angriffe auf Krankenhäuser, Stromversorgungen, militärische Einrichtungen). Ich muss gestehen, dass mir das gänzliche Verbieten von Schusswaffen nicht behagt. Würde man beispielsweise lediglich der Exekutive eines Staates das Recht auf eine Schusswaffe gewähren, könnte im Fall der Umschlagung diplomatischer Werte (Diktatur) das Volk plötzlich ohne die Möglichkeit auf Widerstand dastehen. Das Argument, dass Waffen verteidigen können, bleibt also bestehen. Denn schliesslich argumentieren auch wir fortwährend, dass der Austausch sicherheitskritischer Informationen wichtig bleibt, damit auch "die guten Jungs" eine Chance haben. Die Hauptwaffe im Cyberwar ist Information und das Zurückbehalten von Informationen war jedenfalls auf längere Zeit noch nie im Sinn der Gesellschaft. Es ist wohl wichtig in diesem philosophischen Konflikt Grenzen zu ziehen. So haben Waffen zu Verteidigungszwecken durchaus ihre Daseinsberechtigung, das hat selbst der friedliebende Platon in "Politeia" angemerkt (Ein jedes Volk braucht eine Armee, um sich verteidigen zu können). Doch es gibt Waffen, die ganz offensichtlich nur zum pauschalen Morden entwickelt wurden. "Massenvernichtungswaffen", bei deren Gebrauch Kollateralschäden gerne in Kauf genommen werden. Derlei Waffen gilt es zu verhindern. Doch Moment, was ist, wenn nun alle "guten Staaten" auf Massenvernichtungswaffen verzichten und ein "Schurkenstaat" diese plötzlich produziert? Ein Wettrüsten ist eine der Optionen, um dem Gegner mit Vergeltung drohen und 1/24

2 scip monthly Security Summary durch diese Abwehraggression von wüsten Handlungen abhalten zu können. Nikita Chruschtschow und John F. Kennedy könnten ein Lied davon singen. Die Computerindustrie rüstet sich auch zunehmends. Massenvernichtungswaffen im Bereich der Computersicherheit könnten mit umfangreichen ExploitingFrameworks oder Wurm/BotNetzen verglichen werden. Auch bei diesen geht es hauptsächlich darum, so schnell wie möglich so viele Rechte wie möglich einholen zu können Schäden an unbeteiligten sind dabei für Cracker eher irrelevant. Wobei ich das Verbot von Wurm Software noch ansatzweise verstehen kann, sehe ich die Einschränkungen der Möglichkeiten bei ExploitingFrameworks auch als Nachteil für Entwickler sowie Administratoren. Diese können die "Waffe" ExploitingFramework nämlich auch in gutem Sinne brauchen, um ihre Entwicklungen auf Fehler hin überprüfen und damit diese effektiver ausmerzen zu können. 2. scip AG Informationen 2.1 Computerworld Marc Ruef beantwortete in der am 13. April 6 erschienenen Ausgabe der Computerworld ( Fragen bezüglich der Sicherheitsbedenken bei einem Einsatz der Virtualisierungssoftware VMware. Den Artikel finden Sie online als PDF unter vmware_cw13046.pdf In Bezug auf Waffen wird gerne auf die Möglichkeit kontrollierter Abgaben verwiesen. Damit lässt sich eine Filterung umsetzen, um nicht gleich jedermann mit tödlichen Werkzeugen bestücken zu lassen. Grundsätzlich wäre dies auch eine theoretische Option im Bereich der Computersicherheit: Die Herausgabe von AngriffsTools vorwiegend an Administratoren, die damit nur Gutes machen wollen. Doch leider funktioniert in der digitalen Welt vieles anders. Denn hier sind es halt eben auch die dunklen Mächte, die mit viel Elan und Erfindergeist ihre "Waffen" selber zusammenbauen. Das Limitieren der Weitergabe brisanter Informationen würde wiederum nur jede treffen, die sich an die Regeln halten. Benachteiligt wären also nur die guten Administratoren. Spricht das nun aber auch für die allgemeine Ausgabe von Waffen? Marc Ruef <maruatscip.ch> Security Consultant Zürich, 15. März 6 2/24

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind sehr kritisch 0 0 kritisch problematisch Contents: Mrz 06 Apr Mozilla Firefox bis und bis XUL HistoryFunktion erweiterte Rechte 3.2 Mozilla Firefox bis und bis js_valuetofunctionobject() erweiterte Rechte 3.3 Mozilla Firefox bis und bis crypto.generatecrmfrequest() erweiterte Rechte 3.4 Mozilla Firefox bis und bis UploadDialogbox erweiterte Rechte 3.5 Mozilla Firefox bis und bis CSS letterspacing 3.6 Mozilla Firefox bis und bis DHTML erweiterte Rechte 3.7 Mozilla Firefox bis und bis valueof Funktionen erweiterte Rechte 3.8 Mozilla Firefox bis und bis JavaScript XBL erweiterte Rechte 3.9 Mozilla Firefox bis und bis window.controllers Array erweiterte Rechte 3.10 Mozilla Firefox bis und bis JavaScript eval() XBL erweiterte Rechte 3.11 Mozilla Firefox bis und bis InstallTrigger.install() 3.12 Mozilla Firefox bis und bis mozgrid erweiterte Rechte 3.13 Mozilla Firefox bis und bis JavaScript langer regulärer Ausdruck 3.14 Mozilla Firefox bis und bis CSS border Array 3.15 Novell GroupWise Messenger bis 2.0 Messaging Agent Service 3.16 Microsoft Windows 0, XP und Server 3 COMObjekte 3.17 Microsoft Internet Explorer bis 6.0 Adresszeile und Elemente vortäuschen 3.18 Microsoft Internet Explorer bis 6.0 dynamisch generierte eingebettete Objekte IOleClientSite 3.19 Microsoft Internet Explorer bis 6.0 URL doublebyte Zeichen 3.20 Microsoft Internet Explorer bis 6.0 korrupte HTMLObjekte 3.21 Microsoft Internet Explorer bis 6.0 COM Objekte instanzieren 3.22 Microsoft Data Access Components bis 2.8 ActiveX Control RDS.Dataspace unbekannter Fehler 3.23 Microsoft Internet Explorer bis 6.0 korrupte HTMLTags Parsing 3.24 Microsoft Internet Explorer bis 6.0 mehrere EventHandler 3.25 Microsoft Internet Explorer bis 6.0 JavaScript dynamische Objekte Cross Domain Scripting 3.26 PHP bis copy() compress.zlib:// DateiWrapper Directory Traversal 3.27 PHP bis tempnam() temporäre Dateien Directory Traversal 3.28 PHP bis phpinfo() Array Cross Site Scripting 3.29 Linux Kernel bis rc1 sysfs/file.c fill_write_buffer() 3.30 OpenVPN bis setenv Umgebungsvariablen erweiterte Rechte 3.31 Cisco Content Services Switch bis HTTP Kompression Denial of Service 3.32 McAfee WebShield SMTP bis 4.5 MR2 BounceFehlermeldungen nichtexistente Domain Format String 3.33 McAfee VirusScan bis DUNZIP32.dll 3.34 PHP bis 5.1.3RC1 html_entity_decode() gibt Informationen preis 3.35 Veritas NetBackup bis 6.0 Daemons korrupte Pakete 3.36 Microsoft Internet Explorer bis 6.0 HTA Anwendung erweiterte Rechte 3.37 Sendmail bis Empfang SignalVerarbeitung 3/24

4 scip monthly Security Summary Microsoft Internet Explorer bis 6.0 Radio Buttons createtextrange() 3.39 Linux Kernel bis Netfilter do_replace() 3.40 BEA WebLogic Server bis 8.1 SP5 JSR 168 Portlet Cache erweiterte Rechte 3.41 BEA WebLogic Server bis 8.1 SP4 XML Parsing Denial of Service 3.42 FreeRADIUS bis EAPMSCHAPv2 Status manipulieren erweiterte Rechte 3.43 Microsoft Internet Explorer bis 6.0 HTML Tags mehrere EventHandler Denial of Service 3.1 Mozilla Firefox bis und bis XUL HistoryFunktion erweiterte Rechte Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft XUL, durch mittels der HistoryFunktion des Browsers erweiterte Rechte erlangt werden können. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.2 Mozilla Firefox bis und bis js_valuetofunctionobject() erweiterte Rechte Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft ein Sicherheitsproblem in der Funktion js_valuetofunctionobject(), durch die mittels settimeout() und ForEach erweiterte Rechte erlangt werden können. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.3 Mozilla Firefox bis und bis crypto.generatecrmfrequest() erweiterte Rechte Datum: scip DB: Datum: scip DB: Datum: scip DB: Das MozillaProjekt versucht einen opensource 4/24

5 scip monthly Security Summary Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft die Funktion crypto.generatecrmfrequest(), wodurch erweiterte Rechte erlangt werden können. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.4 Mozilla Firefox bis und bis UploadDialogbox erweiterte Rechte Datum: scip DB: Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft die Upload Dialogbox, bei der dynamisch die Inhalte geändert und damit DateiUploads manipuliert werden können. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.5 Mozilla Firefox bis und bis CSS letterspacing Datum: scip DB: Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft letterspacing innerhalb von CSS, wodurch erweiterte Rechte erlangt und beliebiger Programmcode dank ausgeführt werden kann. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.6 Mozilla Firefox bis und bis 5/24

6 scip monthly Security Summary DHTML erweiterte Rechte Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft die interpretation von DHTML, wodurch mittels einem HTMLDokument erweiterte Rechte erlangt und beliebiger Programmcode ausgeführt werden kann. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.7 Mozilla Firefox bis und bis valueof Funktionen erweiterte Rechte Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft die beiden Funktionen valueof.call() sowie valueof.apply(), wodurch mittels einem HTMLDokument erweiterte Rechte erlangt und beliebiger Programmcode ausgeführt werden kann. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.8 Mozilla Firefox bis und bis JavaScript XBL erweiterte Rechte Datum: scip DB: Datum: scip DB: Datum: scip DB: Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft JavaScript, wodurch erweiterte Rechte erlangt und beliebiger Programmcode ausgeführt werden kann. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. 6/24

7 scip monthly Security Summary Produkt mit soliderer SicherheitsVorgeschichte 3.9 Mozilla Firefox bis und bis window.controllers Array erweiterte Rechte Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft das window.controllers Array, wodurch beliebiger Programmcode ausgeführt gelassen werden kann. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.10 Mozilla Firefox bis und bis JavaScript eval() XBL erweiterte Rechte Datum: scip DB: Datum: scip DB: Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft die JavaScript Funktion eval(), welche unter bestimmten Umständen mit erweiterten Rechten gestartet wird. Ein Angreifer kann damit beliebigen Programmcode ausführen lassen. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Als Workaround wird das Deaktivieren von JavaScript empfohlen Produkt mit soliderer SicherheitsVorgeschichte 3.11 Mozilla Firefox bis und bis InstallTrigger.install() Datum: scip DB: Das MozillaProjekt versucht einen opensource 7/24

8 scip monthly Security Summary Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft die Funktion InstallTrigger.install(), mit deren Hilfe beliebiger Programmcode ausgeführt werden kann. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.12 Mozilla Firefox bis und bis mozgrid erweiterte Rechte Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft die Display Styles mozgrid sowie mozgridgroup, mit deren Hilfe beliebiger beliebiger Programmcode ausgeführt werden kann. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.13 Mozilla Firefox bis und bis JavaScript langer regulärer Ausdruck Datum: scip DB: Datum: scip DB: Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft lange reguläre Ausdrücke innerhalb von JavaScript, mit deren Hilfe beliebiger JavaScriptBytecode ausgeführt werden kann. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 8/24

9 scip monthly Security Summary Mozilla Firefox bis und bis CSS border Array Das MozillaProjekt versucht einen opensource Vielzahl an neuen Schwachstellen dieses Mal sind es insgesamt gar 21 Stück in Firefox bekannt. Eine davon betrifft CSS border, bei dem durch einen nach Belieben Daten an das Ende eines Arrays geschrieben werden können. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Das Problem wurde sowohl in den Versionen sowie von Mozilla Firefox behoben. Produkt mit soliderer SicherheitsVorgeschichte 3.15 Novell GroupWise Messenger bis 2.0 Messaging Agent Service Novell GroupWise ist eine Kommunikations und Teamworklösung. Sie ermöglicht jedem Mitarbeiter im Unternehmen seine s, Termine, Notizen und Dokumente bis hin zur Voic zentral zu verwalten. Durch das cirt.dk wurde nun bekannt, dass die Versionen bis 2.0 des Novell GroupWise Messengers einen aufweisen. Durch den Novell Messaging Agent Service, der standardmässig auf Port tcp/8300 gegeben ist, kann beliebiger Programmcode ausgeführt werden. Dabei wird ein überlanger String mit mehr als 16 Zeichen, der keines der Sonderzeichen ; oder, enthält, genutzt. In der GroupWise Messenger 2.0 Public Beta 2 wird mit dem GroupWise 7 Support Pack 1 Beta 2 ein Patch angeboten. Ebenso wird das Problem im SP1 für die Version 2.0 behoben sein. Diese Schwachstelle ist ein klassischer. Über ein Netzwerk ansprechbare Dienste dürfen ganz besonders keine Schwachstellen aufweisen, da diese für jeden zugänglich, einfach zu finden und auszunutzen sind. Trotzdem wird diese Sicherheitslücke eher weniger für Angreifer in Frage kommen, denn die Verbreitung des verwundbaren Systems ist doch nicht so hoch Microsoft Windows 0, XP und Server 3 COMObjekte Datum: scip DB: Datum: scip DB: Datum: scip DB: Microsoft Windows 0 ist ein professionelles Betriebssystem, das jedoch nach und nach durch den Nachfolger Microsoft Windows XP bzw. Server 3 abgelöst wird. Microsoft machte mit MS06013 (KB912812) eine schwerwiegende Schwachstelle in den modernen Windows Systemen bekannt. Diese betrifft das Instanzieren von COMObjekten, wodurch ein umgesetzt werden kann. Durch einen Zugriff über NetBIOS/SMB kann ein Angreifer beliebigen Programmcode ausführen lassen. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Rund 14 neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und 9/24

10 scip monthly Security Summary Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not Microsoft Internet Explorer bis 6.0 Adresszeile und Elemente vortäuschen Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Microsoft machte im Patchday des Monats April 6 gleich 9 Schwachstellen im bekannten Browser mit MS06013 (KB912812) publik. Eine davon betrifft die Adresszeile und vertrauenswürdige Objekte der UI. Diese können manipuliert werden, was sich für eine technisch gestützte Social EngineeringAttacke heranziehen lässt. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Der Microsoft Patchday April 6 steht ganz im Zeichen des Microsoft Internet Explorers. Schon lange sind nicht mehr so viele neue Fehler in diesem weitverbreiteten Produkt bekannt geworden. Einige von ihnen sind gar sehr kritisch und dürften spätestens beim Erscheinen eines handlichen Exploits den einen oder anderen Angriff ermöglichen. Es ist aus diesem Grund dringend und zwingend anzuraten, schnellstmöglich die jünsten Patches einzuspielen, um erfolgreiche Attacken zu unterbinden Microsoft Internet Explorer bis 6.0 dynamisch generierte eingebettete Objekte IOleClientSite Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Microsoft machte im Patchday des Monats April 6 gleich 9 Schwachstellen im bekannten Browser mit MS06013 (KB912812) publik. Eine davon betrifft die Handhabung dynamisch generierter und eingebetteter Objekte, wodurch ein umgesetzt werden kann. Damit kann ein Angreifer durch eine korrupte Webseite beliebigen Programmcode ausführen lassen. Der Fehler wurde durch einen Patch behoben. Der Microsoft Patchday April 6 steht ganz im Zeichen des Microsoft Internet Explorers. Schon lange sind nicht mehr so viele neue Fehler in diesem weitverbreiteten Produkt bekannt geworden. Einige von ihnen sind gar sehr kritisch und dürften spätestens beim Erscheinen eines handlichen Exploits den einen oder anderen Angriff ermöglichen. Es ist aus diesem Grund dringend und zwingend anzuraten, schnellstmöglich die jünsten Patches einzuspielen, um erfolgreiche Attacken zu unterbinden Microsoft Internet Explorer bis 6.0 URL doublebyte Zeichen Datum: scip DB: Datum: scip DB: Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Microsoft machte im Patchday des Monats April 6 gleich 9 Schwachstellen im bekannten Browser mit MS06013 (KB912812) publik. Eine davon betrifft die Verarbeitung von doublebyte Zeichen in URLs, wodurch ein umgesetzt werden kann. Damit kann ein Angreifer durch eine korrupte Webseite beliebigen Programmcode ausführen lassen, sofern das System doublebyte Zeichen unterstützt. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Der Microsoft Patchday April 6 steht ganz im Zeichen des Microsoft Internet Explorers. Schon lange sind nicht mehr so viele neue Fehler in diesem weitverbreiteten Produkt bekannt geworden. Einige von ihnen sind gar sehr kritisch und dürften spätestens beim Erscheinen eines handlichen Exploits den einen oder anderen Angriff ermöglichen. Es ist aus diesem Grund dringend und zwingend anzuraten, schnellstmöglich die jünsten Patches einzuspielen, um erfolgreiche Attacken zu unterbinden Microsoft Internet Explorer bis /24

11 scip monthly Security Summary korrupte HTMLObjekte Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Microsoft machte im Patchday des Monats April 6 gleich 9 Schwachstellen im bekannten Browser mit MS06013 (KB912812) publik. Eine davon betrifft die Verarbeitung bestimmter HTML Objekte, wodurch ein umgesetzt werden kann. Damit kann ein Angreifer durch eine korrupte Webseite beliebigen Programmcode ausführen lassen. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Der Microsoft Patchday April 6 steht ganz im Zeichen des Microsoft Internet Explorers. Schon lange sind nicht mehr so viele neue Fehler in diesem weitverbreiteten Produkt bekannt geworden. Einige von ihnen sind gar sehr kritisch und dürften spätestens beim Erscheinen eines handlichen Exploits den einen oder anderen Angriff ermöglichen. Es ist aus diesem Grund dringend und zwingend anzuraten, schnellstmöglich die jünsten Patches einzuspielen, um erfolgreiche Attacken zu unterbinden Microsoft Internet Explorer bis 6.0 COMObjekte instanzieren Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Microsoft machte im Patchday des Monats April 6 gleich 9 Schwachstellen im bekannten Browser mit MS06013 (KB912812) publik. Eine davon betrifft das Instanzieren von COM Objekten, die eigentlich nicht für den Internet Explorer vorgesehen waren, wodurch ein umgesetzt werden kann. Damit kann ein Angreifer durch eine korrupte Webseite beliebigen Programmcode ausführen lassen. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Der Microsoft Patchday April 6 steht ganz im Zeichen des Microsoft Internet Explorers. Schon lange sind nicht mehr so viele neue Fehler in diesem weitverbreiteten Produkt bekannt geworden. Einige von ihnen sind gar sehr kritisch und dürften spätestens beim Erscheinen eines handlichen Exploits den einen oder anderen Angriff ermöglichen. Es ist aus diesem Grund dringend und zwingend anzuraten, schnellstmöglich die jünsten Patches einzuspielen, um erfolgreiche Attacken zu unterbinden Microsoft Data Access Components bis 2.8 ActiveX Control RDS.Dataspace unbekannter Fehler Datum: scip DB: Microsoft Data Access Components bis 2.8 ist Teil moderner WindowsBetriebssysteme. Wie Microsoft in MS06014 (KB911562) meldet, existiert ein nicht näher beschriebener Fehler, durch den ein Angreifer erweiterte Rechte erlangen könnte. Das Problem betrifft das ActiveX Control RDS.Dataspace. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Rund 14 neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not Microsoft Internet Explorer bis 6.0 korrupte HTMLTags Parsing Datum: /24

12 scip monthly Security Summary Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Microsoft machte im Patchday des Monats April 6 gleich 9 Schwachstellen im bekannten Browser mit MS06013 (KB912812) publik. Eine davon betrifft das Parsing korrupter und nicht valider HTMLCodes, wodurch ein umgesetzt werden kann. Damit kann ein Angreifer durch eine korrupte Webseite beliebigen Programmcode ausführen lassen. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Der Microsoft Patchday April 6 steht ganz im Zeichen des Microsoft Internet Explorers. Schon lange sind nicht mehr so viele neue Fehler in diesem weitverbreiteten Produkt bekannt geworden. Einige von ihnen sind gar sehr kritisch und dürften spätestens beim Erscheinen eines handlichen Exploits den einen oder anderen Angriff ermöglichen. Es ist aus diesem Grund dringend und zwingend anzuraten, schnellstmöglich die jünsten Patches einzuspielen, um erfolgreiche Attacken zu unterbinden Microsoft Internet Explorer bis 6.0 mehrere EventHandler scip DB: Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Microsoft machte im Patchday des Monats April 6 gleich 9 Schwachstellen im bekannten Browser mit MS06013 (KB912812) publik. Eine davon betrifft den Umgang mit mehreren Event Handlern, wodurch ein umgesetzt werden kann. Damit kann ein Angreifer durch eine korrupte Webseite beliebigen Programmcode ausführen lassen. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Der Microsoft Patchday April 6 steht ganz im Zeichen des Microsoft Internet Explorers. Schon lange sind nicht mehr so viele neue Fehler in diesem weitverbreiteten Produkt bekannt geworden. Einige von ihnen sind gar sehr kritisch und dürften spätestens beim Erscheinen eines handlichen Exploits den einen oder anderen Angriff ermöglichen. Es ist aus diesem Grund dringend und zwingend anzuraten, schnellstmöglich die jünsten Patches einzuspielen, um erfolgreiche Attacken zu unterbinden Microsoft Internet Explorer bis 6.0 JavaScript dynamische Objekte Cross Domain Scripting Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Microsoft machte im Patchday des Monats April 6 gleich 9 Schwachstellen im bekannten Browser mit MS06013 (KB912812) publik. Eine davon betrifft JavaScript, durch das ein Cross Domain Scripting mit dynamischen Objekten umgesetzt werden kann. Damit kann ein Angreifer durch eine korrupte Webseite auf Elemente anderer Webseiten zugreifen, diese manipulieren oder auslesen. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Der Microsoft Patchday April 6 steht ganz im Zeichen des Microsoft Internet Explorers. Schon lange sind nicht mehr so viele neue Fehler in diesem weitverbreiteten Produkt bekannt geworden. Einige von ihnen sind gar sehr kritisch und dürften spätestens beim Erscheinen eines handlichen Exploits den einen oder anderen Angriff ermöglichen. Es ist aus diesem Grund dringend und zwingend anzuraten, schnellstmöglich die jünsten Patches einzuspielen, um erfolgreiche Attacken zu unterbinden PHP bis copy() compress.zlib:// DateiWrapper Directory Traversal Datum: scip DB: Datum: scip DB: 12/24

13 scip monthly Security Summary PHP ist ein frei verfügbares opensource SkriptingPaket, das für sämtliche populären Betriebssysteme zur Verfügung steht. Es findet vorwiegend im WebEinsatz seine Verwendung. Maksymilian Arciemowicz machte gleich drei Schwachstellen in PHP bis publik. Eine davon betrifft die Funktion copy(), mit der sich durch eine Directory TraversalSchwachstellen die open_basedirdirektive umgehen und durch den compress.zlib:// DateiWrapper Dateien an beliebiger Stelle umsetzen lassen. Der Fehler wurde vorerst in der aktuellen CVSVersion behoben. Problematisch an dieser Schwachstelle ist die relativ hohe Verbreitung vor allem im Web Bereich. Angreifer könnten entsprechend den Umstand nutzen, um das System zu kompromittieren. Das Umsetzen von Gegenmassnahmen ist deshalb in betroffenen Umgebungen von erhöhter Wichtigkeit. Vor allem die vermeintliche Einfachheit der Ausnutzung der Schwachstelle wird dazu führen, dass der eine oder andere die neue Schwäche zu seinem Vorteil nutzen werden will PHP bis tempnam() temporäre Dateien Directory Traversal Datum: scip DB: PHP ist ein frei verfügbares opensource SkriptingPaket, das für sämtliche populären Betriebssysteme zur Verfügung steht. Es findet vorwiegend im WebEinsatz seine Verwendung. Maksymilian Arciemowicz machte gleich drei Schwachstellen in PHP bis publik. Eine davon betrifft die Funktion tempnam(), mit der sich durch eine Directory Traversal Schwachstellen die open_basedirdirektive umgehen und temporäre Dateien an beliebiger Stelle umsetzen lassen. Der Fehler wurde vorerst in der aktuellen CVSVersion behoben. Problematisch an dieser Schwachstelle ist die relativ hohe Verbreitung vor allem im Web Bereich. Angreifer könnten entsprechend den Umstand nutzen, um das System zu kompromittieren. Das Umsetzen von Gegenmassnahmen ist deshalb in betroffenen Umgebungen von erhöhter Wichtigkeit. Vor allem die vermeintliche Einfachheit der Ausnutzung der Schwachstelle wird dazu führen, dass der eine oder andere die neue Schwäche zu seinem Vorteil nutzen werden will PHP bis phpinfo() Array Cross Site Scripting Datum: scip DB: PHP ist ein frei verfügbares opensource SkriptingPaket, das für sämtliche populären Betriebssysteme zur Verfügung steht. Es findet vorwiegend im WebEinsatz seine Verwendung. Maksymilian Arciemowicz machte gleich drei Schwachstellen in PHP bis publik. Eine davon betrifft die Funktion phpinfo(), die grundlegende Daten zur PHPInstallation ausgibt. Dort werden bei Arrays nur die ersten 4096 sanitiert, bevor sie an den Benutzer zurückgegeben werden. Dies kann für Cross Site ScriptingAttacken herhalten. Der Fehler wurde vorerst in der aktuellen CVSVersion behoben. Cross Site Scripting Angriffe wie dieser werden gerne unterschätzt. Richtig angewendet können sie jedoch beachtlichen Schaden für die Betroffenen darstellen. Vor allem in diesem Beispiel, bei dem auf das Vorhandensein der gerne unterschätzten phpinfofunktion zurückgegriffen wird. Oftmals sind auf einem Webserver überbleibsel von Test und Demo Dateien vorhanden, so dass sich damit ein Angriff erfolgreich umsetzen lässt Linux Kernel bis rc1 sysfs/file.c fill_write_buffer() Remote: Indirekt Datum: scip DB: Linux ist ein freies, UNIXähnliches Betriebssystem, das der General Public License (GPL) unterliegt. Es wurde 1991 vom Finnen Linus Torvalds ins Leben gerufen. Heute gilt es als grösster Konkurrent zum kommerziellen WindowsBetriebssystem aus dem Hause Microsoft. Al Viro hat entdeckt, dass sich in sysfs/file.c die Funktion fill_write_buffer() zum Ausführen beliebigen Programmcodes überreden lässt. Der kann durch einen lokalen Benutzer ausgeführt werden. Technische Details oder ein Exploit zur Schwachstelle sind 13/24

14 scip monthly Security Summary nicht bekannt. Der Fehler wurde in der Kernel Version rc1 behoben. Glücklicherweise handelt es sich bei dieser Schwachstelle nur um einen Fehler, zu dessen Ausnutzung vorwiegend lokale Zugriffsrechte erforderlich sind. Entsprechend ist das Risiko vorwiegend auf MultiuserSystemen gegeben, bei denen deshalb unverzüglich Gegenmassnahmen am besten auf den neuesten Kernel updaten einzuleiten sind OpenVPN bis setenv Umgebungsvariablen erweiterte Rechte OpenVPN ist ein Programm zur Herstellung eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte SSLVerbindung. Zur Verschlüsselung werden dazu die Bibliotheken des Programmes OpenSSL genutzt. Wie Hendrik Weimer meldete, kann ein Client Umgebungsvariablen an den Server schicken. Damit lassen sich durch einen korrupten Server Dateien auf dem Client speichern und nach Belieben ausführen. Dies könnte zu erweiterten Rechten führen. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde in der Version behoben. Eine eher exotische Software, die das Vorgehen eines böswilligen Administrators erfordert. Entsprechend ist das Risiko relativ gering. Trotzdem sollte man derlei Situationen nicht unterschätzen und Gegenmassnahmen anstreben Cisco Content Services Switch bis HTTP Kompression Denial of Service Datum: scip DB: Datum: scip DB: Die Firma Cisco hat sich einen Namen mit ihren Netzwerkelementen Switches und Router gemacht. Wie der Hersteller im Advisory ciscosa60405css meldet, existiert eine Denial of ServiceSchwachstelle im Cisco Content Services Switch Das Gerät kann durch ein korruptes HTTPPakets, das auf HTTP Kompression zurückgreift, zum Neustart gezwungen werden. Technische Details oder ein Exploit sind nicht bekannt. Als Workaround wird empfohlen, die HTTPKompression durch das Kommando "compress disable" abzuschalten. Zudem wurde das Problem in der Version behoben. CiscoRouter sind sehr beliebt, weshalb diese Angriffsmöglichkeit mit offenen Armen empfangen wurde. Besonders SkriptKiddies werden nach Erscheinen eines Exploits wahre Freude daran haben, Teile von Netzwerken abzuschiessen. Es gilt unbedingt und unverzüglich entsprechende Gegenmassnahmen einzuleiten und die herausgegebenen Updates einzuspielen McAfee WebShield SMTP bis 4.5 MR2 BounceFehlermeldungen nichtexistente Domain Format String Datum: scip DB: McAfee WebShield ist in der Lage SMTP Verkehr nach Viren und Würmern zu durchsuchen, diese entsprechend zu kennzeichnen und zu entfernen. Ollie Whitehouse von Symantec hat eine Format StringSchwachstelle entdeckt. Diese lässt sich durch eine BounceFehlermeldung zu einer nichtexistierenden Domain generieren. Ein Angreifer kann entsprechend mit einem korrupten beliebigen Programmcode ausführen. Weitere Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Der Fehler wurde im Patch P0803, der schon im August 3 herausgegeben wurde, sowie in der Version 4.5 MR2 behoben. Dieses Problem könnte in der Geschäftswelt zu einem ernstzunehmenden Risiko werden. Der eine oder andere Angriff könnte durchaus umgesetzt werden, denn AntivirenGateways wie das von McAfee werden gerne eingesetzt McAfee VirusScan bis DUNZIP32.dll Datum: /24

15 scip monthly Security Summary scip DB: McAfee ist mitunter ein sehr populäres Software Haus, das sich mit AntivirenLösungen einen Namen gemacht hat. Das Produkt VirusScan weist einen in der Bibliothek DUNZIP32.dll auf. Dieser kann durch eine korrupte Datei provoziert werden. Das Problem wurde ursprünglich im RealPlayer entdeckt und nun ebenfalls in McAfeesProdukt verifiziert. Der Hersteller hat über die Online UpdateFunktion einen Patch bereitgestellt. Das Problem bei der Verarbeitung korrupter Dateien und vor allem Archiven ist nichts neues Es wird gar schon fast langsam zur Alltäglichkeit. Es scheint, als müssten die Entwickler von AntivirenLösungen in der Hinsicht von weit mehr defensiver programmieren. Es ist nur eine Frage der Zeit, bis aktuelle Schädlinge, vor allem Mail Viren, die Schwachstelle für sich ausnutzen wollen. Das Umsetzen von Gegenmassnahmen ist deshalb dringendst zu empfehlen PHP bis 5.1.3RC1 html_entity_decode() gibt Informationen preis Datum: scip DB: PHP ist ein frei verfügbares opensource SkriptingPaket, das für sämtliche populären Betriebssysteme zur Verfügung steht. Es findet vorwiegend im WebEinsatz seine Verwendung. In einem Posting auf der Sicherheitsmailingliste Full Disclosure wurde auf einen Fehler in der Funktion html_entity_decode() hingewiesen. Diese wird für die Decodierung von HTML Sonderzeichen verwendet. Kann ein Angreifer direkten Einfluss auf die Funktion ausüben, lassen sich erweiterte Informationen auslesen. Durch sonderbare ASCIISonderzeichen liesse sich der Angriff umsetzen. Erweiterte Details wurden nicht bekannt. Im CVS wurde die Version 5.1.3RC1 herausgegeben. Als Workaround wird empfohlen, eine Whitelist der zugelassenen Zeichen vor die Funktion zu setzen. Eine sehr interessante Sicherheitslücke, die auf den ersten Blick sehr hypothetisch wirkt. Es ist jedoch tatsächlich möglich, diesen Angriff auf betroffenen Systemen mit einem gewissen Aufwand umzusetzen. Der Angreifer muss halt nur direkten Einfluss auf die Eingabe der Funktion ausüben können. Umso wichtiger ist es, nun seine Systeme bei Gelegenheit gegen diesen Angriff zu schützen Veritas NetBackup bis 6.0 Daemons korrupte Pakete Veritas stellt neben dem Cluster Server für die Lastverteilung bzw. Leistungskombinierung ebenfalls eine BackupLösung zur Verfügung. Wie gemeldet wurde sind die Daemons Volume Manager (vmd), NetBackup Catalog (bpdbm) und der NetBackup Sharepoint Services Server gegen eine Attacke verwundbar. Durch ein korruptes Paket könne beliebiger Programmcode auf einem System ausgeführt werden. Technische Details oder ein Exploit sind nicht bekannt. Die Fehler wurden durch Patches adressiert. Obschon bisher noch keine technischen Informationen zur besagten Verwundbarkeit bekannt sind, sollte man ein Update auf die neueste Version nicht hinausschieben. Es ist nur eine Frage der Zeit, bis die ersten Exploits zur automatisierten Ausnutzung der Schwachstelle die Runde machen. Da VeritasProdukte vor allem in grösseren Umgebung ihre Verwendung finden, ist diese Schwachstelle doch für den einen oder anderen Angreifer interessant Microsoft Internet Explorer bis 6.0 HTAAnwendung erweiterte Rechte Datum: scip DB: Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Jeffrey van der Stad entdeckte einen Fehler in den aktuellen Versionen, mit dessen Hilfe ein Angreifer über HTA erweiterte Rechte auf dem System erlangen kann. Weitere Details sind nicht bekannt. Internet Explorer 7 Beta2 weist das Problem schon nicht mehr auf. 15/24

16 scip monthly Security Summary Dieser Angriff ist sehr kritisch, da er zusammen mit anderen Schwachstellen zur kompletten Komprimitierung des Systems führen kann, ohne dass der Benutzer überhaupt etwas davon mitbekommen könnte. Es ist daher umso wichtiger, schnellstmöglich Gegenmassnahmen zu ergreifen und beim Erscheinen eines Patches diesen unverzüglich auf den betroffenen Systemen einzuspielen Sendmail bis Empfang SignalVerarbeitung Datum: scip DB: Sendmail ist eine seit vielen Jahren sehr populäre Implementierung eines Mail Transfer Agents (MTA), der für die Übertragung von s (z.b. SMTP) genutzt werden kann. Es gibt kommerzielle und opensource Varianten, die jeweils für verschiedene Betriebssysteme erhältlich sind. Mark Dowd der ISS XForce hat eine Schwachstelle entdeckt. Durch einen Fehler bei der SignalVerarbeitung bei eingehenden s kann beliebiger Programmcode ausgeführt werden. Um dies umzusetzen, ist ein spezielles Timing erforderlich. Technische Details oder ein Exploit sind nicht bekannt. Für die neueren Sendmail Versionen wurden Patches herausgegeben. Das Problem wurde aber auch in Sendmail behoben. Eine sehr interessante Sicherheitslücke, die auf den ersten Blick sehr hypothetisch wirkt. Es ist jedoch tatsächlich möglich, diesen Angriff umzusetzen. Aufgrund der weiten Verbreitung der SendmailSoftware angeblich sind 50 bis 75 % der MTAs im Internet mit Sendmail umgesetzt ist diese Schwachstelle akut. Es ist nur eine Frage der Zeit, bis die ersten Exploits zur automatisierten Ausnutzung der Schwachstelle die Runde machen. Es gilt deshalb so schnell wie möglich Gegenmassnahmen einzuleiten, um das Zeitfenster eines erfolgreichen Angriffs so klein wie möglich zu halten Microsoft Internet Explorer bis 6.0 RadioButtons createtextrange() Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Stelian Ene hat nun bekannt gemacht, dass ein schwerwiegender in den Versionen bis 6.0 existiert. Davon betroffen ist die Funktion createtextrange(), mit der sich durch RadioButtons beliebiger Programmcode ausführen lässt. Technische Details oder ein Exploit sind nicht bekannt. Microsoft arbeitet an einem Patch, der voraussichtlich am kommenden Patchday publik gemacht werden wird. Als Workaround wird empfohlen, auf einen anderen Webbrowser auszuweichen oder mit dem Internet Explorer wenigstens nur jene Web Dokumente vertrauenswürdiger Herkunft anzeigen zu lassen. Und schon wieder eine ernstzunehmende Schwachstelle in unserem LieblingsBrowser. Machte man früher Witze über Sendmail, weil praktisch jede Woche eine neue Sicherheitslücke bekannt wurde, mausert sich der Internet Explorer langsam zum "buggiest program on planet earth". Wer sich nicht vom König unter den Browsern der halt doch durch Kompatibelität und Features brilliert trennen kann, muss damit leben, dass er alle paar Wochen neue Patches installieren muss. Es bleibt zu hoffen, dass mit der Version 7.0 des Browsers neue Massstäbe in Punkto Sicherheit gesetzt werden Linux Kernel bis Netfilter do_replace() Remote: Unbekannt Datum: scip DB: Netfilter ist eine sehr gern genutzte Möglichkeit des Firewallings unter Unix/Linux. Die meisten Distributionen liefern die entsprechenden Pakete mit. Eine Vielzahl der freien und kommerziellen LinuxFirewalls basieren gar auf diesen. Solar Designer hat entdeckt, dass die Funktion do_replace() bei einem Linux Kernel bis gegen eine Schwachstelle verwundbar ist. So liesse sich unter gewissen Umständen beliebiger Programmcode ausführen. Weitere Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Der Fehler wurde in der jüngsten KernelVersion behoben. 16/24

17 scip monthly Security Summary Schwachstellen können passieren Und sie passieren immerwieder. Die Administratoren und Benutzer haben begonnen, damit zu leben. Doch spätestens dann stösst man sich an einer solchen Sicherheitslücke, wenn sie in SicherheitsLösungen wie in diesem Fall eine Personal Firewall gefunden werden. Gerade wenn handliche Exploits bekannt werden, dürfte mit einem erhöhten Agriffsaufkommen gerechnet werden. Die Popularität von Linux mit Netfilter tut dazu das ihrige BEA WebLogic Server bis 8.1 SP5 JSR168 Portlet Cache erweiterte Rechte Datum: scip DB: BEA Weblogic Server erhöhen die Produktivität und senken die Kosten der ITAbteilungen, indem er eine einheitliche, vereinfachte und erweiterbare Architektur bietet. BEA Weblogic Server basiert auf Applikationsinfrastruktur Technologien von BEA Produkten, die weltweit von tausenden Kunden erfolgreich eingesetzt werden. Wie der Hersteller meldet, existiert ein Problem in Bezug auf das Portlet JSR168. Dieses zieht teilweise Daten aus dem Cache heran. Nun ist in manchen Situation der Sachverhalt so, dass dabei Daten der Sitzung eines Benutzers einem anderen Benutzer zugeführt werden. Dies resultiert quasi in erweiterten Leserechten. Weitere Details oder ein Exploit sind nicht bekannt. Der Hersteller empfiehlt ein Upgrade auf die neueste Version sowie das Einspielen der neuesten Service Packs und Patches. Wieder gleich mehrere Sicherheitslücken, die BEA mit einem Schlag publik macht und mittels Patch behebt. Grundsätzlich gut für die Anwender. Aber irgendwie keine gute Bilanz, denn sind die wiederholt aufgeworfenen Fehler doch ein bisschen viel für ein derlei professionelles Produkt. Es fragt sich nämlich, ob da in dieser Lösung nicht noch andere Sicherheitslücken schlummern, die dem einen oder anderen Cracker schon bekannt sind. Aber erst die Zukunft wird es zeigen können, ob da wirklich Damokles' Schwert über den WebLogic Administratoren schwebt BEA WebLogic Server bis 8.1 SP4 XMLParsing Denial of Service Datum: scip DB: BEA Weblogic Server erhöhen die Produktivität und senken die Kosten der ITAbteilungen, indem er eine einheitliche, vereinfachte und erweiterbare Architektur bietet. BEA Weblogic Server basiert auf Applikationsinfrastruktur Technologien von BEA Produkten, die weltweit von tausenden Kunden erfolgreich eingesetzt werden. Wie der Hersteller meldet, kann es beim Parsen von XMLDokumenten zu einer Denial of Service kommen. Kann ein Benutzer entsprechend korrupte Dokumente dem Server zur Verarbeitung vorlegen, lässt sich damit ein erhöhter RessourcenVerbrauch provozieren. Weitere Details oder ein Exploit sind nicht bekannt. Der Hersteller empfiehlt ein Upgrade auf die neueste Version sowie das Einspielen der neuesten Service Packs und Patches. Wieder gleich mehrere Sicherheitslücken, die BEA mit einem Schlag publik macht und mittels Patch behebt. Grundsätzlich gut für die Anwender. Aber irgendwie keine gute Bilanz, denn sind die wiederholt aufgeworfenen Fehler doch ein bisschen viel für ein derlei professionelles Produkt. Es fragt sich nämlich, ob da in dieser Lösung nicht noch andere Sicherheitslücken schlummern, die dem einen oder anderen Cracker schon bekannt sind. Aber erst die Zukunft wird es zeigen können, ob da wirklich Damokles' Schwert über den WebLogic Administratoren schwebt FreeRADIUS bis EAP MSCHAPv2 Status manipulieren erweiterte Rechte Datum: scip DB: FreeRADIUS ist eine freie RADIUS Implementierung. Steffen Schuster hat einen Fehler in der StatusMaschine in Bezug auf EAP MSCHAPv2. Dieser kann von einem Angreifer genutzt werden, um eine Denial of Service Attacke umzusetzen oder erweiterte Rechte zu erlangen. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Der Fehler 17/24

18 scip monthly Security Summary wurde in der Version behoben. AuthentisierungsSchwachstellen sind immer sehr gefährlich und die hohe Verbreitung von FreeRADIUS wird die Popularität der Schwachstelle natürlich nur noch ankurbeln. Zwar ist noch kein Exploit bekannt, doch spätestens mit dem Erscheinen eines solches, muss mit einer erhöhten Anzahl Scans und Angriffen gerechnet werden Microsoft Internet Explorer bis 6.0 HTMLTags mehrere Event Handler Denial of Service Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner WindowsBetriebssysteme. Michal Zalewski endeckte in Microsoft Internet Explorer bis 6.0 einen Denial of ServiceFehler. Und zwar kann der Webbrowser zum Absturz gebracht werden, wenn innerhalb eines HTML Tags mehr als 94 EventHandler genutzt werden. Ein Webmaster könnte über ein simples Dokument den Browser der Besucher abstürzen lassen. Genaue technische Details sind nicht bekannt. Als Workaround wird empfohlen, entweder auf einen anderen Browser zu setzen (z.b. Mozilla Firefox) oder wirklich nur Ressourcen vertrauenswürdiger Herkunft anzeigen zu lassen. Wieder eine Denial of ServiceSicherheitslücke im Microsoft Internet Explorer. Nachträglich scheint es schon fast unglaublich, wieviele Fehler Microsoft bei der Entwicklung des Browsers unterlaufen ist. Langsam aber sicher sollten alle Benutzer eingesehen haben, dass dieses Produkt definitiv keinen Preis für Sicherheit gewinnen wird. Ein Umstieg auf ein anderes Produkt wie Netscape oder Firebird wird immer naheliegender. 18/24

19 scip monthly Security Summary Jan 3 Mrz 3 Mai 3 Jul 3 Sep 3 Nov 4 Jan 4 Mrz 4 Mai 4 Jul 4 Sep 4 Nov 5 Jan 5 Mrz 5 Mai 5 Jul 5 Sep 5 Nov 6 Jan 6 Mrz 4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG Registrierte Schwachstellen by scip AG Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an mailto:info@scip.ch. Gerne nehmen wir Ihre Vorschläge entgegen Verlauf der Anzahl Schwachstellen pro Monat Auswertungsdatum: 19. April Feb 6 Mrz 6 Apr sehr kritisch kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad 0 6 Feb 6 Mrz 6 Apr Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit 1 Fehlende Authentifizierung Fehlende Verschlüsselung 1 Fehlerhafte Leserechte 3 Fehlerhafte Schreibrechte 2 Format String Konfigurationsfehler RaceCondition 1 1 Schw ache Authentifizierung 1 1 Schw ache Verschlüsselung SQLInjection SymlinkSchw achstelle UmgehungsAngriff 1 Unbekannt Verlauf der letzten drei Monate Schwachstelle/Kategorie 19/24

20 scip monthly Security Summary Jan 3 Feb 3 Mrz 3 Apr Mai Jun Jul 3 Aug 3 Sep 3 Okt 3 Nov 3 Dez 4 Jan 4 Feb 4 Mrz 4 Apr Mai Jun Jul sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 4 Aug 4 Sep 4 Okt 4 Nov 4 Dez 5 Jan 5 Feb 5 Mrz 5 Apr 5 5 Mai Jun 5 Jul 5 Aug 5 Sep 5 Okt 5 Nov 5 Dez 6 Jan 6 Feb 6 Mrz 6 Apr Jan 3 Feb 3 Mrz 3 Apr 3 Mai 3 Jun 3 Jul 3 Aug 3 Sep 3 Okt 3 Nov 3 Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Jan 4 Feb 4 Mrz 4 Apr RaceCondition Schw ache Authentifizierung Schw ache Verschlüsselung SQLInjection SymlinkSchw achstelle UmgehungsAngriff Mai Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 4 Jun 4 Jul 4 Aug 4 Sep 4 Okt 4 Nov 4 Dez 5 Jan 5 Feb 5 Mrz 5 Apr 5 Mai 5 Jun 5 Jul 5 Aug 5 Sep 5 Okt 5 Nov 5 Dez 6 Jan 6 Feb 6 Mrz 6 Apr 20/24

21 scip monthly Security Summary Interview 5.1 Interview mit Eric Sesterhenn Ehemaliger VirenEntwickler Eric Sesterhenn, Marc Ruef, Eric Sesterhenn ist InformatikStudent an der Technischen Universität Darmstadt, ehemaliges Mitglied der deutschen HackerGruppe KryptoCrew und Entwickler von Computerviren. Er hat mit einer Vielzahl an Entwicklungen und Fachartikeln massgeblich zum besseren Verständnis von korruptem Programmcode beigetragen. scip AG: Hallo Eric. Vielen lieben Dank, dass Du Dir die Zeit für dieses Interview nimmst. Eine zentrale Frage vorweg: Wann und wie bist Du das erste Mal mit Computer in Berührung gekommen? Muss noch während der Kindergarten Zeit gewesen sein, als mein Vater einen Rechner mit nach Hause gebracht hat und ich mich tierisch drüber gefreut habe, dass grüne Zeichen aufleuchten wenn ich auf der Tastatur rumdrücke. Vor allem Ende der 90er Jahre hast Du mit einigen hervorragenden Arbeiten im Bereich der Computerviren geglänzt. Wieso hat Dich korrupter und reproduzierender Programmcode so fasziniert? Ich war schon immer mehr Programmierer als Netzwerker, und Computersicherheit ist immer ein Thema das reizt. Betrachtet man die Entwicklungen im Bereich der Computerviren, dann fällt auf, dass mit dem Zeitalter der MakroViren von alten AssemblerTraditionen (Eleganz und Effizienz) abgekommen ist. Hat damit die Subkultur ihren Charme verloren? ( der die Wirtsdatei komplett disassemblet, seinen Code zwischen den Originalcode einfügt und wieder zusammensetzt. Dabei natürlich auch eine Polyengine benutzt, so dass eine Entdeckung quasi unmöglich ist. Hardwarebasierte Viren sind eine faszinierende Sache (beispielsweise der populäre ChernobylVirus). Für einen VirenEntwickler, der sehr auf Effektivität seines Schaffens bedacht ist, wären derartige Produkte die erste Wahl. Warum ist es aber scheinbar gegeben, dass es praktisch gar keine HardwareViren mehr gibt? Hat heute niemand mehr das Wissen und die Geduld? Irgendwann haben die meisten in der Szene zum Glück kapiert, dass Schadcode, der etwas zerstört nicht ganz so cool ist, und es wurde mehr Wert auf die eigentlichen Funktionen des Virus gelegt, wie der Polyengine oder den Infektionsmethoden. Ein Virus der Dateien löscht oder Hardware zerstört besteht vielleicht aus 10 Zeilen interessantem Code. Eine gute Polyengine geht über mehrere Seiten. Betrachtet man die Möglichkeiten von ausgefeilten Backdoors (z.b. TreiberModule), dann erscheinen eine Vielzahl manueller und automatischer Entdeckungsmassnahmen als lächerlich. Gaukelt uns die AntivirenIndustrie mit ihren vorwiegend patternbasierten und pseudoheuristischen Methoden eine falsche Sicherheit vor? Sind umfassende forensische Analysen in der elektronischen Einbruchserkennung ein Ding der Unmöglichkeit? Makroviren hatten dennoch einen gewissen Reiz, da die Leute damit Grenzen ausgelotet haben. Makroviren hatten noch einen gewissen Reiz, da die Leute damit auch einige Grenzen ausgelotet und teilweise sehr interessanten Code geschrieben haben. Für mich hat das Ganze eher an Reiz verloren als irgendwann nur noch Würmer verbreitet wurden, die aber alle mehr oder weniger gleich waren, es keine oder nur wenige Neuerungen mehr gab. Gibt es denn einen Computervirus, den Du von seiner Machart oder dem Umfang her als besonders faszinierend empfindest? Falls ja, welches ist das und wieso? Ist für mich eindeutig W32/Zmist von Zombie Virenscanner haben in jedem Fall eine Daseinsberechtigung. Selbst wenn sie neue Malware nicht direkt erkennen, halten sie alle Viren und Würmer vom System fern, die weiter verbreitet sind (von Sony Rootkits mal abgesehen). 100 %ige Erkennung von neuen Viren ist praktisch nicht machbar, solange das Halteproblem nicht gelöst ist: Auch die Heuristiken legen die Messlatte für Virenschreiber höher. Man verzichtet ja auch nicht auf ein Türschloss, weil man weiss das die Tür auch eingerammt werden kann. Seit Anbeginn hält sich hartnäckig das Ge 21/24

22 scip monthly Security Summary rücht, dass AntivirenHersteller absichtlich eigene Viren produzieren und freisetzen, um die Notwendigkeit ihrer Lösungen zu erhalten. Was denkst Du, ist an dieser These dran? Ist wie viele Verschwörungstheorien, es wäre spassig wenn es so wäre, aber die Chance dafür ist recht gering. Kein Antiviren Hersteller wird das Risiko eingehen, seinen Laden schliessen zu müssen wenn so etwas rauskommt. Mittlerweile sind glaube ich auch die finanziellen Interessen bei Spammern gross genug, dass genug Malware nachproduziert wird, damit der Markt lukrativ bleibt. Du als jemand, der seit Jahren Viren entwickelt und analysiert hast, was macht für Dich eine gute Antiviren Lösung aus? Day Exploits hat, und dafür sorgt das der Wurm über das Netz mit Updates versorgt werden kann, kann es durchaus nochmal heikel werden. Glücklicherweise hängen immer mehr Endnutzer Systeme hinter NAT Gateways, so das diese nicht mehr direkt angreifbar sind. Glaube auch dass die Awareness gestiegen ist, was Mails von Unbekannten betrifft. Was meinst Du zum Thema Cyberwar? Werden in zukünftigen Kriegen Computerviren eine wichtige Rolle spielen? Was uns noch einige Zeit vor einer Virenwelle schützen wird, sind die unterschiedlichen Plattformen. Hängt ganz vom Einsatzzweck ab. Für den privaten Bereich ist es mir eher wichtig das es günstig ist, für einen Mailserver ist es wichtig das die Virenpattern häufig aktualisiert werden, und für grosse Desktopinstallationen steht natürlich ein gutes Management und Update Interface im Vordergrund. Mobilkommunikation und Mobile Computing sind ein teilweise etablierter Trend, der sich noch verstärken wird. Wie siehst Du das Thema mobiler Viren, die sich beispielsweise per Bluetooth oder MMS verbreiten? Scheint die Industrie nicht zu verschlafen, dass sich durch ihre Nachlässigkeit ganz neue Dimensionen für Angreifer auftun (z.b. standardmässiges Aktivieren von Bluetooth)? Ich hoffe ja dass alle Staaten intelligent genug sind um kritische Infrastruktur wenigstens etwas zu sichern. Denke gezielte Angriffe auf einzelne Systeme werden da eher von Interesse sein. Informationen zu verarbeiten die von infizierten Rechnern kommt ist eher schwierig, so dass Würmer eher für DDoS Angriffe eingesetzt werden dürften. Vielen Dank, dass Du Dir die Zeit für dieses Interview genommen hast. Ich wünsche Dir viel Glück bei Deinen zukünftigen Projekten! Das Thema wird spannend bleiben und es gibt schon genug Proof of Concept Code. Ich schätze allerdings das Angriffe auf solche Geräte erstmal eher im Bereich Industriespionage interessant sind. Was uns dort noch einige Zeit vor einer Virenwelle schützen wird ist die Vielzahl der unterschiedlichen Plattformen. Steht uns das verheerende Viren Armageddon noch bevor? Warten wir noch auf den modularen und plattformunabhängigen sowie polymorphen Virus, der verteilt funktioniert, auf verschiedene Technologien zurückgreift (z.b. TCP/IP, MMS, Bluetooth, Infrarot) und neue Module aus dem Netzwerk herunterladen kann? Denke wenn der Richtige einen plattformübergreifenden Wurm schreibt, der mehrere gute 0 22/24

23 scip monthly Security Summary Kreuzworträtsel Wettbewerb Mailen Sie uns das erarbeitete Schlüsselwort an die Adresse inklusive Ihren KontaktKoordinaten. Das Los entscheidet über die Vergabe des Preises. Teilnahmeberechtigt sind alle ausser den Mitarbeiterinnen und Mitarbeitern der scip AG sowie deren Angehörige. Es wird keine Korrespondenz geführt. Der Rechtsweg ist ausgeschlossen. Gewinnen Sie einen Monat des Securitytracker Dienstes )pallas(. Einsendeschluss ist der Die GewinnerInnen werden nur auf ihren ausdrücklichen Wunsch publiziert. Die scip AG übernimmt keinerlei, wie auch immer geartete Haftung im Zusammenhang mit irgendeinem im Rahmen des Gewinnspiels an eine Person vergebenen Preises. Die Auflösung der SecurityKreuzworträtsel finden Sie jeweils online auf unter Publikationen > scip monthly Security Summary > Errata. 23/24

24 scip monthly Security Summary Literaturverzeichnis scip AG, scip monthly Security Summary, Dannbacher, André, Kienle, Fabian, Oktober 2, Leitfaden für sichere CitrixSysteme, Ruef, Marc, 22. Dezember 1, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, Ruef, Marc, 2, Intrusion Prevention Neue Ansätze der Computersicherheit, Computer Professional, Ausgabe 42, Seiten 1014, Ruef, Marc, Februar 4, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies elearning und Wissensmanagement, 8. Impressum Herausgeber: scip AG Technoparkstrasse 1 CH8005 Zürich T mailto:info@scip.ch Zuständige Person: Marc Ruef Security Consultant T mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich ITSecurity. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting und Scanning Software als auch der Programmierung eines eigenen Log Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktivkritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 24/24