s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007

Ähnliche Dokumente
Schwachstellenanalyse 2012

Protect 7 Anti-Malware Service. Dokumentation

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Verwendung des IDS Backup Systems unter Windows 2000

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

FTP-Leitfaden RZ. Benutzerleitfaden

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

ANYWHERE Zugriff von externen Arbeitsplätzen

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Fallstudie: Deaktivierung von Endpoint-Protection-Software auf nicht autorisierte Weise

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Single User 8.6. Installationshandbuch

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

Patch Management mit

Lizenzen auschecken. Was ist zu tun?

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

ICS-Addin. Benutzerhandbuch. Version: 1.0

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Verwendung des Terminalservers der MUG

Installationsanleitung dateiagent Pro

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

COMPUTER MULTIMEDIA SERVICE

Leichte-Sprache-Bilder

WordPress installieren mit Webhosting

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Installation SQL- Server 2012 Single Node

crm-now/ps Webforms Webdesigner Handbuch Erste Ausgabe

Guide DynDNS und Portforwarding

Windows wird nicht mehr unterstützt Was bedeutet das? Was muss unternommen werden? Compi-Treff vom 9. Mai 2014 Thomas Sigg

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Heartbleed beats hard

WordPress lokal mit Xaamp installieren

FTP-Server einrichten mit automatischem Datenupload für

FTP-Leitfaden Inhouse. Benutzerleitfaden

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

:: Anleitung Hosting Server 1cloud.ch ::

Reporting Services und SharePoint 2010 Teil 1

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Umstellung und Registrierung Release

Anleitung zur Nutzung des SharePort Utility

Update-News. Version 8.12 Stand:

OP-LOG

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Keine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY

estos UCServer Multiline TAPI Driver

Internet Explorer Version 6

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

MetaQuotes Empfehlungen zum Gebrauch von

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

INSTALLATION VON INSTANTRAILS 1.7

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity

Step by Step Webserver unter Windows Server von Christian Bartl

Firmware-Update, CAPI Update

Zugriff Remote Windows Dieses Dokument beschreibt die Konfiguration von Windows für den Zugriff auf

Vorstellung - "Personal Remote Desktop" für (fast) alle Hardwareplattformen und Betriebssysteme

Gruppenrichtlinien und Softwareverteilung

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Verwendung von USB-Datenträger in der VDI unter Mac OSX

Kurzanleitung zum Einrichten des fmail Outlook Addin

Firewalls für Lexware Info Service konfigurieren

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

STRATO Mail Einrichtung Microsoft Outlook

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Auskunft über die Kassendaten

Live Update (Auto Update)

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

EIDAMO Webshop-Lösung - White Paper

Anlegen eines DLRG Accounts

Installationshilfe VisKalk V5

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Die Wasser App.

Einsatzbearbeitung im Sanitätsdienst

Sichere Webapplikationen nach ONR oder Wer liest meine s?

Anleitung auf SEITE 2

TeamViewer App für Outlook Dokumentation

Interaktive Medien Richtlinien für das Codieren Version vom 18. Juni 2014

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Einrichten eines IMAP Kontos unter Outlook Express

Kompatibilitätsmodus und UAC

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Transkript:

Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Eingabeüberpüfung? Wozu?! Ich liebe Web Application Penetration Tests. Wieso? Sie sind ganz einfach. Eine Webapplikation als solche stellt in erster Linie eine über einen entsprechenden Webbrowser nutzbare Anwendung zur Verfügung. Die Schnittstelle wird dabei durch den Webserver, auf dem die Anwendung läuft, bereitgestellt. Durch die jeweiligen Formulare, wie sie in HTML typisch sind, wird die Interaktion mit der Applikation bewerkstelligt. Ob dies nun die Verwaltung eines Bankkontos oder das Berechnen von Versicherungsprämien ist: Das Prinzip ist stets das Gleiche. einer Zinsberechnung anstelle eines ganzzahligen Werts wie 1 einen Buchstaben wie A übergeben darf. Es ist zu erwarten, dass die Zielapplikation mit dieser Eingabe nicht allzuviel anfangen kann, von einer Berechnung absieht und stattdessen eine Fehlermeldung ausgibt. Soweit nichts problematisches. Wirklich kritisch wird es aber dann, wenn mit einem solch absichtlich umgesetzten Fehlverhalten die Zielanwendung zu kompromittierenden Handlungen bewegt werden kann. Anstelle der Ausgabe einer Fehlermeldung könnte die Folge der zuvor genannten Eingabe sein, dass die Anwendung einfach abstürzt. Vielleicht hat sie effektiv intern versucht 1 % des Werts A auszurechnen, was schlichtweg nicht möglich war. Das Resultat war undefiniert und führte spätestens bei der Darstellung zu einem Programmabsturz. Damit wäre eine schöne, zwar nicht aus der Sicht des Kunden, Denial of Service-Schwachstelle identifiziert. Die klassischen konstruktiven Angriffs-techniken im Webumfeld sind Pufferüberlauf-Attacken, Directory Traversal, Cross Site scripting und SQL-Injection. Jede dieser Attacken erfordert das Anstreben einer speziellen Eingabe. Im Falle eines Pufferüberlaufs ist die Übergabe einer überlangen Zeichenkette erforderlich und die Zeichenkette../ bildet die Grundlage für klassische Directory Traversal-Attacken. Genauso erwartet Cross Site scripting irgendwo das Unterbringen von HTML-Code und eine SQL- Injection das Einschleusen von SQL- Anweisungen. Bei einer black box-orientierten Sicherheitsüberprüfung einer Webapplikation werden keine zusätzlichen Informationen zur Zielumgebung bereitgestellt. Konfigurationsdetails oder der Quelltext der Anwendung stehen einem nicht zur Verfügung, so dass man sich Schritt für Schritt an das Zielobjekt herantasten muss. Wie in den meisten Fällen bedeutet dies: Einfach mal ausprobieren. Die Idee besteht darin, dass man der Webapplikation eine Eingabe aufzwingen kann, die sie nicht richtig verarbeiten kann. Ein kleinerer Fehler ist zum Beispiel, wenn man bei Grundsätzlich ist es für einen Entwickler einer Webapplikation sehr einfach, diese typischen Attacken abzuwehren. Erwartet das Programm eine Eingabe, die maximal 5 Zeichen lang ist (z.b. Kontonummer), so sollten Eingaben länger als 5 Zeichen entweder abgeschnitten oder verworfen werden. Eine Pufferüberlauf-Attacke ist damit in den allermeisten Fällen verhindert. Genauso haben die Zeichenkette../, die Sonderzeichen < (Kleiner-Als Zeichen) sowie ' (Hochkomma) in den meisten Eingaben nichts verloren. Damit sind schon mal 9 % der typischen Fehler frühzeitig abgefangen und die Grosszahl an Skript-Kiddies ausgegrenzt. Doch irgendwie wollen sich nicht alle Entwickler 1/16

von Webapplikationen das Leben so einfach machen. Stattdessen verzichtet man einfach auf eine solche Überprüfung und gibt seine Anwendung damit einer Heerschaar von Angreifern preis. So habe ich es jedenfalls letztens bei einem Penetration Test eines grossen Konzerns gesehen. Es dauerte keine 3 Sekunden, bis ich die oben genannten Schwachstellen gefunden habe. Nach 2 Minuten musste ich abbrechen und dem Kunden eine Emergency-Meldung zukommen lassen. Die Konsequenzen für den Hersteller der Webapplikation, eine hierzulande sehr bekannte Firma, werden leider nicht die besten sein. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 19. März 27 2. scip AG Informationen 2.1 Web Application Penetration Test Die Welt ohne Internet und ohne Webseiten ist nicht mehr vorstellbar. Keine Firma ohne Webauftritt! Die Ausprägung beginnt bei einfachen Visitenkarten im Netz über interaktive Firmenvorstellungen mit notwendiger Softwareinstallation im Client-Browser bis hin zu komplexen Webapplikationen mit Datenbankanbindung wie E-Banking oder Online-Shops. Alle Personen mit Zugang zum Internet haben somit Zugriff auf die so bereitgestellten Daten. Die Herausforderung beginnt nun damit, dass übliche Sicherheitsmassahmen wie Firewalls oder Antiviren Lösungen nicht den notwendigen Schutz bieten können. Erschwerend kommt dazu, dass Software von Menschen programmiert wird und selten ohne Fehl und Tadel ist. Die Grosse Frage lautet nun: wie kann ich meinen Kunden, Interessenten und Partner Zugriff auf meine Webseite und Dienste gewähren ohne, dass ich oder meine Dienstanwender und Webseitenbenutzer befürchten müssen Opfer von zum Beispiel einfachem Vandalismus, Erpressung, Datendiebstahl oder Informationsmanipulation zu werden? Diese Fragestellung lässt sich durch Webapplication Penetration Tests beantworten. Nach der Definierung der Risikoklassifizierung und den zu erwartenden Angreifertypen werden zielgerichtete, kundenbasierende und lösungsorientierte Testreihen umgesetzt um die Sicherheit Ihrer Webangebote zu determinieren, detaillierte Gegenmassnahmen zu planen und die definierte Sicherheit Ihrer Werte langfristig zu sichern. Dank unserer langjährigen Erfahrung in diesem spezifischen Gebiet inklusive der Programmierung eigener Penetration Test Software und unserem ausgewiesenen Expertenwissen haben wir als scip AG die Ehre die unterschiedlichsten Webapplikationen (E-Banking, Online-Shop etc.) vieler namhafter nationaler- und internationaler Unternehmungen überprüft zu haben und dabei geholfen haben diese abzusichern. Zählen auch Sie auf uns! Zögern Sie nicht und kontaktieren Sie unseren Herrn Chris Widmer unter der Telefonnummer +41 44 445 1818 oder senden Sie im eine Mail an chris.widmer@scip.ch Gerne können wir Ihre Anliegen besprechen. 2/16

3. Neue Sicherheitslücken Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind. 2955 Cisco Unified IP Conference Station bis 7936 fehlerhafte Authentisierung 2953 Trend Micro ServerProtect 5.x Pufferüberlauf 2952 Nortel Threat Protection System bis 4.5.1 DCE/RPC Preprocessor Buffer Overflow 295 SourceFire Intrusion Sensor 4.x DCE/RPC Preprocessor Buffer Overflow 2948 Snort bis 2.6.1.2 DCE/RPC Preprocessor Buffer Overflow 5 4 3 2 1 Feb 7 Mrz 7 sehr kritisch 1 kritisch 23 7 problematisch 47 6 Contents: 2976 OpenBSD Unspecified ICMP6 Packet "mbuf" Verwundbarkeit 2975 Novell Netmail WebAdmin bis 3.5.2 Long Username Pufferüberlauf 2973 ModSecurity 2.1. POST Data NULL Byte Rule Bypass 2972 Apple QuickTime 7.x mehrere Schwachstellen 297 WordPress 2.1.1 unerlaubte Befehlsausführung 2969 Citrix Presentation Server Client 9.x unspezifizierte Codeausführung 2968 Cisco Verschiedene Produkte MPLS Denial of Service 2966 MPlayer RTSP Stream Buffer Overflow 2965 CA etrust Intrusion Detection Schlüssellänge Denial of Service 2964 Avaya Produkte Linux Kernel Denial of Service 2962 Wordpress 2.1.1 mehrere Script Injection Schwachstellen 2961 Internet Explorer 7 Charset Inheritance Cross-Site Scripting 2959 TYPO3 bis 4..5 Mail Header Injection 2958 Internet Explorer 7 "onunload" Event Spoofing 2957 Trend Micro ServerProtect for Linux Web Interface fehlerhafte Authentisierung 2956 Cisco IP Phone 79 Series Default Account 3.1 OpenBSD Unspecified ICMP6 Packet "mbuf" Verwundbarkeit OpenBSD ist ein 4.4 BSD-basiertes Unix-Derivat Betriebssystem, das unter der BSD-Lizenz frei verfügbar ist. Es wurde 1994 durch Theo de Raadt von NetBSD, dem ersten BSD-basierten quelloffenen (Open-Source-) Betriebssystem, abgespalten. OpenBSD ist bekannt für das Beharren seiner Entwickler auf Quelloffenheit, freier Dokumentation, kompromissloser Stellung gegenüber Software-Lizenzen, Fokus auf Computersicherheit und Korrektheit von Quellcode. Die hier besprochene, nicht näher spezifizierte Schwachstelle ergibt sich durch eine fehlerhafte Behandlung von ICMP6 Paketen. Da keinerlei Informationen zur Art der Schwachstelle veröffentlicht wurde, sondern lediglich die Nachricht dass es einen Fehler gäbe und dass er mit einem Patch behoben werde, hält sich das Risiko das von dieser Verwundbarkeit ausgeht in Grenzen. Es ist jedoch von einem Pufferüberlauf auszugehen, was das baldige Umsetzen des beschriebenen Workarounds oder das Einspielen des Patches als sinnvoll erscheinen lässt. 3.2 Novell Netmail WebAdmin bis 3.5.2 Long Username Pufferüberlauf Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter http://www.scip.ch/cgi-bin/smss/showadvf.pl einsehbar. Datum: 12.3.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2976 Datum: 8.3.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2975 NetMail ist ein funktionsreiches Messaging System der Firma Novell. Ein anonymer Spezialist publizierte in Kooperation mit der ZDI 3/16

(Zero Day Initiative) eine Schwachstelle in besagtem System, bei der durch das Senden eines manipulierten Paketes mit einem überlangen Usernamen (>213 Bytes) ein Pufferüberlauf herbeigeführt und beliebiger Code ausgeführt werden kann. Auch wenn derzeit kein Exploit verfügbar ist, ist damit zu rechnen dass sich dies in Kürze ändern wird. Es empfiehlt sich daher, das vom Hersteller empfohlene Update 3.52E einzuspielen um diese eher kritische Lücke zu schliessen. 3.3 ModSecurity 2.1. POST Data NULL Byte Rule Bypass Das Apache-Modul mod_security erfüllt den Zweck einer sogenannten Web Application Firewall, die auf Applikationsebene gewisse Filteraufgaben zur Vermeidung webbasierter Attacken eingesetzt werden kann. Stefan Esser publizierte im Rahmen des "Month of PHP Bugs" eine Schwachstelle in mod_security, bei der durch das Senden eines Null-Bytes eine Umgehung der in Kraft gesetzten Regeln möglich ist. Stefan Esser publizierte diese Schwachstelle als "Bonus"-Vulnerability im Rahmen seines "Month of PHP Bugs". Die Lücke zeigt klar auf, warum eine Web Application Firewall nicht als Ersatz für saubere und sichere Programmierung angesehen werden kann und darf, sondern lediglich eine Ergänzung, eine weitere Ebene zur Erhöhung der Gesamtsicherheit darstellt. Da derzeit kein Patch im eigentlichen Sinne verfügbar ist, empfiehlt es sich den Workaround der Entwickler zu befolgen und mittels mod_security sämtliche Null-Bytes zu filtern. 3.4 Apple QuickTime 7.x mehrere Schwachstellen QuickTime ist eine von der Firma Apple entwickelte Multimedia-Architektur für Mac OS und Windows. Diese besteht im Kern aus drei Elementen: dem Framework, dem API und dem Dateiformat. Basisanwendungen, die auf diese Architektur aufbauen, sind z. B. der QuickTime Player, der QuickTime Broadcaster oder der QuickTime Streaming Server. Apple bespricht in einem Advisory betreffend eines Updates insgesamt acht Schwachstellen, die bis zur Kompromittierung des Systems durch das Ausführen beliebigen Codes führen können. QuickTime gerät durch den vermehrten Einsatz auf hochfrequentierten Webseiten immer mehr ins Visier der Angreifer. Entsprechend gestaltet sich auch der Bedarf an Patches zu gefundenen Schwachstellen. Schon alleine die schiere Menge an gepatchten Lücken lässt ahnen, dass ein baldiges Einspielen der bereitgestellten Updates empfehlenswert wäre. 3.5 WordPress 2.1.1 unerlaubte Befehlsausführung Wordpress ist eine populäre Open Source Weblog Lösung. In einigen Distributionen der Version 2.1.1 wurden zwei Schwachstellen gefunden, durch die beliebige Befehle durch die passthru()-funktion in PHP zur Ausführung gebracht werden konnten, was die Kompromittierung des Systems durch einen Angreifer ermöglicht. Brisant an dieser Lücke ist, dass sie vorsätzlich entstand nachdem der Download-Server des Wordpress Projekts offenbar kompromittiert wurde. Der Angreifer modifizierte sogleich die Distribution zu seinen Gunsten und baute eine Backdoor ein. Obschon nur ein bestimmtes Zeitfenster betroffen war, empfiehlt es sich so bald wie möglich ein Update auf die aktuelle Version 2.1.2 durchzuführen. 3.6 Citrix Presentation Server Client 9.x unspezifizierte Codeausführung Datum: 7.3.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2973 Datum: 6.3.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2972 Datum: 5.3.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=297 Datum: 1.3.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2969 Citrix Systems ist eine US-amerikanische Softwarefirma, die 1989 von Ed Iacobucci 4/16

gegründet wurde und jetzt in Fort Lauderdale in Florida ansässig ist. Bekannt geworden ist Citrix in erster Linie mit Applikation- und Terminal- Server-Anwendungen. Das hat zur Folge, dass mittlerweile oftmals die Firma Citrix als Synonym für eine solche Anwendung verwendet wird. In den letzten beiden Jahren hat Citrix zusätzlich SSL VPN, Single-Sign-On und andere Security Lösungen in das Produkteangebot mit aufgenommen. In einem Advisory beschreibt Karl Lynn von Juniper Networks eine Lücke, bei der durch einen nicht näher spezifizierten Fehler ein Angreifer beliebigen Code auf einem verwundbaren Zielrechner ausführen kann. Zur Ausnutzung der Lücke reicht z.b. der Einsatz einer entsprechend manipulierten Webseite aus. Citrix erfreut sich vor allem in grossem Umgebung grosser Beliebtheit. Entsprechend kritisch ist die vorliegende Lücke, kann sie doch dazu genutzt werden, eine hohe Anzahl von Clients mittels eines gezielten Angriffs zu kompromittieren. Sofern möglich, sollte baldmöglichst ein Update auf die, vom Hersteller als sicher betitelte, Version 1.x in Betracht gezogen werden. 3.7 Cisco Verschiedene Produkte MPLS Denial of Service Remote: Teilweise Datum: 1.3.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2968 Die Firma Cisco Systems Inc. ist einer der größten Netzwerkausrüster weltweit. Bekannt ist das Unternehmen vor allem für seine Router und Switches, die einen großen Teil des Internet- Backbones versorgen. In verschiedenen Cisco Produkten, basierend auf IOS besteht, laut einem von Cisco veröffentlichten Advisory, eine Schwachstelle, bei der durch einen unspezifizierten Fehler beim Verarbeiten von MPLS Paketen eine Denial of Service Attacke herbeigeführt werden kann. Cisco Produkte gehören aufgrund deren hoher Verbreitung zu den gefährdeteren Netzwerkkomponenten. Im vorliegenden Fall ist bislang kein Exploit erschienen oder mittelfristig zu erwarten, was das Risiko etwas senkt. Dennoch sollten, aufgrund der Gefahr eines drohenden Betriebsausfalls, alle Geräte baldmöglichst auf den neusten Stand gebracht werden. 3.8 MPlayer RTSP Stream Buffer Overflow Datum: 1.3.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2966 MPlayer ist ein unter der freien GNU General Public License stehender Media-Player. Kennzeichnend ist die herausragende Formatund Plattform-Kompatibilität. So läuft das Programm neben Linux, dem Betriebssystem seiner Herkunft, auf Windows, Mac OS X und vielen anderen Plattformen. Es unterstützt eine Vielzahl von Video-[1] und Audio-Codecs[2], darunter auch plattformexklusive, wodurch etwa Windows Media auch außerhalb von Windows wiedergegeben werden kann. Darüber hinaus unterstützt er DVB. Eine besondere Fehlertoleranz ermöglicht es dem mehrfach ausgezeichneten Player, auch defekte Dateien abzuspielen. Eine weitere Stärke ist dabei der Wegfall jeglicher Installation, so dass MPlayer nicht mit bereits installierten Codecs kollidiert und sich sehr einfach als Viewer in andere Programme integrieren lässt. Roland Kay dokumentierte eine Schwachstelle, bei der durch eine Schwachstelle beim Handling von RTSP- Streams ein Pufferüberlauf angestrebt werden kann, was die Ausführung beliebigen Codes ermöglicht. Mplayer ist aufgrund seiner hohen Verbreitung ein sensibles Ziel. So kann ein System allein durch das Verbinden auf einen bösartigen Stream bereits ausgenutzt werden. Es empfiehlt sich, aufgrund der hohen Angriffsfläche, die bereitgestellten Updates baldmöglichst einzuspielen. Bis dahin gilt es, bei der Auswahl von Streams generell Vorsicht walten zu lassen. 3.9 CA etrust Intrusion Detection Schlüssellänge Denial of Service Remote: Teilweise Datum: 28.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2965 Computer Associates International, Inc. wurde 1976 in New York von Charles B. Wang mit drei Mitarbeitern gegründet und wurde 24 in CA, Inc. umbenannt. Die Firma gehört zu den größten Softwarekonzernen der Welt und vertreibt Management-Software für Netzwerke, Storage, Security sowie Projekt- und 5/16

Portfoliomanagement. Sitz von CA ist Islandia im US-Bundesstaat New York, USA. Im etrust Intrusion Detection System besagter Firma wurde durch einen anonymen Spezialisten eine Schwachstelle gefunden, bei der durch das Übermitteln eines überlangen Schlüsselwertes eine Denial-of-Service Attacke angestrebt werden. Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches einzuspielen. 3.1 Avaya Produkte Linux Kernel Denial of Service Avaya Inc. ist ein US-amerikanisches Kommunikationsunternehmen mit Sitz in New Jersey/USA. Als Ausgliederung aus Lucent Technologies wurde Avaya am 2. Oktober 2 eine selbstständige Gesellschaft. Vor dieser Ausgliederung gehörte das Unternehmen über ein Jahrhundert zu Western Electric, AT&T und Lucent Technologies. Louis J. D Ambrosio ist seit 24. Juli 26 Unternehmenschef (CEO) des Konzerns. Er übernahm das Amt von Donald K. Peterson der Avaya seit seiner Gründung im Jahr 2 geführt hatte. Das Kommunikationsunternehmen ist eines der führenden Unternehmen in der Entwicklung von IP-Telefonie und Callcenter-Lösungen. Die ebenfalls zum Unternehmen gehörenden Avaya Labs arbeiten schwerpunktmäßig in ihrer Forschungs- und Entwicklungsarbeit im Bereich Kommunikationstechnologien. Aufgrund der langjährigen Jahre als Unternehmen der Bell Laboratories hat Avaya 1.8 Patente in seinem Besitz bzw. angemeldet. In einem Advisory beschreibt der Hersteller eine Schwachstelle, die zum Herbeiführen einer Denial-of-Service Attacke genutzt werden kann. Weitere Details wurden nicht veröffentlicht. Mangels genauer Angaben gestaltet sich eine Einschätzung dieser Schwachstelle als schwierig. Der Hersteller empfiehlt den Zugang zu betroffenen Hosts mittels Firewalling zu beschränken, bis ein Patch verfügbar ist. 3.11 Wordpress 2.1.1 mehrere Script Injection Schwachstellen Wordpress ist eine populäre Open Source Weblog Lösung. In der aktuellen Version 2.1.1 wurden verschiedene Schwachstellen gefunden, bei denen durch die fehlende Validierung verschiedener Parameter (siehe Advisory) verschiedene Angriffe auf Benutzer mit administrativen Privilegien durchgeführt werden können. Wordpress erfreut sich grosser Beliebtheit, was diese Lücke trotz Ihres beschränkten Angriffsvektors zu einer beliebten Schwachstelle machen kann. Da derzeit kein Patch existiert, ist bis auf weiteres erhöhte Vorsicht geboten. 3.12 Internet Explorer 7 Charset Inheritance Cross-Site Scripting Datum: 27.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2964 Datum: 27.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2962 Datum: 26.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2961 Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Stefan Esser fand eine Schwachstelle, bei der durch die Vererbung des Zeichensatzes von übergeordneten Seiten belieber Code injiziert werden kann. Dies eröffnet einem Angreifer die Möglichkeit, web-basierte Angriffe durchzuführen. Stefan Esser, bekannt durch seine Arbeit bei Hardened-PHP publiziert hier eine Lücke, die zeigt dass das Abschalten von Javascript nicht vor jeder Gefahr schützen kann. Die vorliegende Lücke schränkt den Angreifer zwar in der Vielfalt der Angriffe die ihm zur Verfügung stehen ein, dennoch ist die Lücke als potentiell gefährlich zu betrachten. In Ermangelung eines Patches empfiehlt es sich, bei nicht vertrauenswürdigen Seiten erhöhte Vorsicht walten zu lassen. 6/16

3.13 TYPO3 bis 4..5 Mail Header Injection Datum: 23.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2959 Typo3 (eigene Schreibweise TYPO3) ist ein von Kasper Skårhøj entwickeltes und 1998 in der Erstversion erschienenes Open-Source-Web- Content-Management-System für mittlere bis große Websites. Typo3 basiert auf der serverseitigen Skriptsprache PHP. Als Datenbank wird meist MySQL eingesetzt. Typo3 wird aktiv weiterentwickelt. Ein nicht näher spezifizierter Fehler im Handling von Formularen erlaubt es einem Angreifer beliebige Mailheader einzufügen, was dazu verwendet werden kann, den Versand von Spam oder andere ungewollte Mail-Funktionalitäten anzustreben. Die vorliegende Lücke erlaubt es, nahezu beliebige E-Mail Nachrichten vom angegriffenen Webserver aus zu senden, was unter Umständen unangenehme Konsequenzen nach sich ziehen kann. So wäre es zum Beispiel möglich, dass der Server als Spam-Versandpunkt verwendet wird und in der Folge auf diversen Blacklists landet, was ebenfalls eine Blockierung des legitimen Mailverkehrs bedeuten kann. Dies gilt es zu vermeiden, weshalb die vom Hersteller herausgegebenen Updates baldmöglichst eingespielt werden sollten. 3.14 Internet Explorer 7 "onunload" Event Spoofing Microsoft Internet Explorer lediglich eine Unschönheit dar. Im Kontext eines komplexen Phishing-Angriffes wird er zu einem kleinen Teil einer wohlüberlegten Kette von Angriffen, was sie entsprechend gefährlicher macht. Da derzeit kein Patch existiert, der dieses Problem adressiert, bleibt nichts weiter übrig als besondere Vorsicht gegenüber üblicher Phishing-Szenarien an den Tag zu legen. 3.15 Trend Micro ServerProtect for Linux Web Interface fehlerhafte Authentisierung Das japanische Unternehmen Trend Micro Incorporated, gelistet im Nikkei 225, ist ein weltweit agierender Anbieter von Software und Dienstleistungen in den Bereichen Virenschutz für Netzwerke, Anti-Spam und Internet Content Security. Damian Put beschreibt in einem von idefense veröffentlichten Advisory, dass das Management Interface von Trend Micros Server Protect das Umgehen der kompletten Authentisierung ermöglicht, sofern der Angreifer ein Cookie mit dem Namen "splx_2376_info" und einem beliebigen Wert erstellt. Es ist davon auszugehen, dass diese Lücke sehr bald aktiv eingesetzt wird. Trotz ihrer Beschränkung auf das lokale Netzwerk ist sie einfach anzuwenden und birgt kaum ein Risiko. Es ist schwer abzuschätzen, ob diese Schwachstelle auf einem kleinen Programmierfehler oder einer schwerwiegenden Design-Fehlentscheidung entstand. Es bleibt aber zu empfehlen, die zur Verfügung gestellten Patches baldmöglichst zu applizieren um diese Schwachstelle zu beseitigen. Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Michal Zaleski publizierte ein Adivosry, wonach das Handling des "onunload"-events es erlaubt, das Laden neuer Seiten zu verhindern und zu manipulieren. Dies kann von einem Angreifer zum Beispiel ausgenutzt werden, um auf einer Phishing-Seite das manuelle Eingeben der vermeintlich richtigen Adresse der Zielseite zu unterbinden. Für sich gesehen, stellt dieser Fehler im 3.16 Cisco IP Phone 79 Series Default Account Datum: 23.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2958 Remote: Teilweise Datum: 22.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2957 Datum: 22.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2956 Die Firma Cisco Systems Inc. ist einer der größten Netzwerkausrüster weltweit. Bekannt ist das Unternehmen vor allem für seine Router und Switches, die einen großen Teil des Internet- Backbones versorgen. Christian Reichert, 7/16

Christian Blum, and Jens Link berichten in einem Advisory von einem vordefinierten Default- Account in Ciscos IP Phone, der es einem Angreifer erlaubt auf das Kommandozeileninterface des Gerätes zuzugreifen. Mögliche Folgen sind eine Denial-of- Service Attacke oder das Erlangen erweiterte Privilegien. Alle Jahre wieder: Cisco scheint nach wie vor eine Vorliebe für Standardbenutzer und - passwörter zu besitzen und wird auch dieses Mal Kritik ernten. Betroffene Geräte sollten baldmöglichst mit den zur Verfügung gestellten Updates gepatcht werden um diese unnötige Lücke zu schliessen. 3.17 Cisco Unified IP Conference Station bis 7936 fehlerhafte Authentisierung Datum: 22.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2955 Die Firma Cisco Systems Inc. ist einer der größten Netzwerkausrüster weltweit. Bekannt ist das Unternehmen vor allem für seine Router und Switches, die einen großen Teil des Internet- Backbones versorgen.. Christian Reichert, Christian Blum, and Jens Link berichten in einem Advisory von einem Fehler im Session Management von Ciscos VoIP Lösung Conference Center, der es erlaubt das administrative HTTP-Interface der Conference Station komplett zu umgehen und so erweiterte Privilegien zu erlangen. Die vorliegende Lücke demonstriert erneut die Komplexität der Webapplikationssicherheit, der wie vorliegend, auch Netzwerkveteranen nun gegenüberstehen. Die Schwachstelle an sich sollte baldmöglichst mittels der zur Verfügung gestellten Patches adressiert werden, um das Risiko eines Angriffs zu reduzieren. 3.18 Trend Micro ServerProtect 5.x Pufferüberlauf Das japanische Unternehmen Trend Micro Incorporated, gelistet im Nikkei 225, ist ein weltweit agierender Anbieter von Software und Dienstleistungen in den Bereichen Virenschutz für Netzwerke, Anti-Spam und Internet Content Security. TippingPoint Security beschreibt in einem Advisory eine Schwachstelle in ServerProtect, bei der ein Angreifer durch verschiedene Pufferüberläufe beliebigen Code mit den Rechten des Users SYSTEM ausführen kann. Wenn Sicherheitskomponenten selbst Ziel eines potentiellen Angriffs werden, sollte dies als ernstes Problem angesehen werden. Wird ein solches System erst einmal kompromittiert, sind alle seine Funktionen mit einem Schlag nutzlos. Dass diese Lücke lediglich im lokalen Netzwerk ausnutzbar ist, reduziert das Risiko um ein gewisses Mass. Es empfiehlt sich aber dennoch, Lücken wie diese mittels des teilweise bereits bereitgestellten Patches baldmöglichst zu schliessen. 3.19 Nortel Threat Protection System bis 4.5.1 DCE/RPC Preprocessor Buffer Overflow Remote: Teilweise Datum: 21.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2953 Datum: 2.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2952 Das Nortel Threat Protection System ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke und funktioniert auf Basis von Snort. Neel Metha von IBMs X-Force entdeckte einen Fehler in der Funktion zur Bearbeitung von SMB Write AndX Statements im DCE/RPC Präprozessor, die es erlaubt beliebigen Code mittels eines speziell präparierten Paketes auszuführen. Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches einzuspielen. Diese Lücke entspricht in ihrer Art und Funktion der Schwachstelle in Snort (sid 2948) 3.2 SourceFire Intrusion Sensor 4.x DCE/RPC Preprocessor Buffer 8/16

Overflow Der SourceFire Intrusion Sensor ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke und funktioniert auf Basis von Snort. Neel Metha von IBMs X-Force entdeckte einen Fehler in der Funktion zur Bearbeitung von SMB Write AndX Statements im DCE/RPC Präprozessor, die es erlaubt beliebigen Code mittels eines speziell präparierten Paketes auszuführen. entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches auf Version 2.6.1.3 einzuspielen. Benutzer der aktuellen Beta 2.7. beta 1 sollten bis zur Korrektur des Bugs den DCE/RPC-Präprozessor deaktivieren, um das Risiko zu reduzieren. Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um entsprechende Massnahmen einleiten zu können. Erlangt ein Angreifer aber Kontrolle über das IDS selber, wird es nutzlos und wiegt den Administrator aufgrund des Ausbleibens von Alarmen möglicherweise sogar in falscher Sicherheit. Es ist daher dringend zu empfehlen, die zur Verfügung gestellten Patches einzuspielen. Diese Lücke entspricht in ihrer Art und Funktion der Schwachstelle in Snort (sid 2948) 3.21 Snort bis 2.6.1.2 DCE/RPC Preprocessor Buffer Overflow Datum: 2.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=295 Datum: 2.2.27 scip DB: http://www.scip.ch/cgibin/smss/showadvf.pl?id=2948 Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort ist Open Source und mit über drei Millionen Downloads und 15. aktiven Benutzern (Angaben der Entwickler, Stand: Ende 26) das weltweit am häufigsten eingesetzte IDS. Neel Metha von IBMs X-Force entdeckte einen Fehler in der Funktion zur Bearbeitung von SMB Write AndX Statements im DCE/RPC Präprozessor, die es erlaubt beliebigen Code mittels eines speziell präparierten Paketes auszuführen. Die Schwachstelle betrifft ausserdem auch die aktuelle Betaversion 2.7. beta 1. Intrustion Detection Systeme wurden mit dem Ziel entworfen, Angriffe zu entdecken um 9/16

4. Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. http://www.scip.ch/cgi-bin/smss/showadvf.pl Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine E-Mail an mailto:info@scip.ch. Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 19. März 27 9 8 7 6 5 4 3 2 1 23 24 25 26 27 sehr kritisch 56 15 15 6 1 kritisch 214 314 42 442 79 problematisch 17 287 423 396 12 Verlauf der Anzahl Schwachstellen pro Jahr 12 35 3 1 25 8 2 6 15 4 1 5 2 Jan Feb Mrz Jan Feb Mrz sehr kritisch 1 kritisch 49 23 7 problematisch 49 47 6 Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) 7 2 Denial of Service (DoS) 32 11 2 Designfehler 7 3 1 Directory Traversal 1 Eingabeungültigkeit 11 4 Fehlende Authentifizierung 1 Fehlende Verschlüsselung 4 Fehlerhafte Leserechte 3 Fehlerhafte Schreibrechte 1 Format String 4 Konfigurationsfehler 6 1 Pufferüberlauf 24 24 3 Race-Condition 1 2 Schw ache Authentifizierung 4 2 Schw ache Verschlüsselung SQL-Injection 1 Symlink-Schw achstelle 3 Umgehungs-Angriff Unbekannt 11 5 1 Verlauf der letzten drei Monate Schwachstelle/Kategorie 1/16

Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Registrierte Schwachstellen by scip AG 12 1 98 8 71 6 4 2 13 Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode 27 12 1 8 6 4 2 Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez sehr kritisch 1 kritisch 49 23 7 problematisch 49 47 6 Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 27 11/16

35 3 25 2 15 1 5 Cross Site Scripting (XSS) 7 2 Denial of Service (DoS) 32 11 2 Designfehler 7 3 1 Directory Traversal 1 Eingabeungültigkeit 11 4 Fehlende Authentifizierung 1 Fehlende Verschlüsselung 4 Fehlerhafte Leserechte 3 Fehlerhafte Schreibrechte 1 Format String 4 Konfigurationsfehler 6 1 Pufferüberlauf 24 24 3 Race-Condition 1 2 Schw ache Authentifizierung 4 2 Schw ache Verschlüsselung SQL-Injection 1 Symlink-Schw achstelle 3 Umgehungs-Angriff Jan Feb Mrz Unbekannt 11 5 1 Apr Mai Jun Jul Aug Sep Okt Nov Dez Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 27 12/16

23 - Jan 23 - Mrz 23 - Mai 23 - Jul 23 - Sep 23 - Nov 24 - Jan 24 - Mrz 24 - Mai 24 - Jul 24 - Sep 24 - Nov 25 - Jan 25 - Mrz 25 - Mai 25 - Jul 25 - Sep 25 - Nov 26 - Jan 26 - Mrz 26 - Mai 26 - Jul 26 - Sep 26 - Nov Jan Mrz Registrierte Schwachstellen by scip AG 12 111 1 1 13 94 98 8 6 4 2 12 18 28 24 39 86 35 57 52 47 41 34 42 38 6 42 55 32 46 39 83 76 69 7 59 4 85 79 77 8 77 77 7 7 65 68 62 62 55 51 49 52 27 71 13 1 Verlauf der Anzahl Schwachstellen pro Monat 12 1 8 6 4 2 2 2 2 2 2 2 2 2 3-3 - 3-3 - 3-3 - 3-3 - Jan Feb Mrz Apr Mai Jun Jul Au 2 3 - Se 2 2 2 2 2 2 2 2 2 2 3-3 - 3-4 - 4-4 - 4-4 - 4-4 - Okt No De Jan Feb Mrz Apr Mai Jun Jul 2 4 - Au 2 2 2 2 2 2 2 2 2 2 2 4-4 - 4-4 - 5-5 - 5-5 - 5-5 - 5 - Se Okt No De Jan Feb Mrz Apr Mai Jun Jul sehr kritisch 4 6 4 7 3 14 4 6 2 5 1 4 1 3 2 1 1 1 2 1 2 2 2 3 1 2 1 1 1 1 1 1 1 1 1 kritisch 3 6 13 14 24 4 16 27 23 26 22 17 23 19 23 27 28 19 33 15 6 26 24 25 33 38 58 47 2 46 2 26 42 37 1 3 38 27 37 33 44 41 42 52 27 27 43 49 23 7 problematisch 1 5 6 7 7 12 32 15 14 27 26 18 17 15 18 34 15 25 12 13 23 39 33 43 51 49 32 51 56 18 46 26 28 26 24 16 48 13 25 32 44 35 21 42 24 38 4 34 49 47 6 2 5 - Au 2 2 2 2 5-5 - 5-5 - Se Okt No De 2 6 - Jan 2 2 2 2 2 6-6 - 6-6 - 6 - Feb Mrz Apr Mai Jun 2 6 - Jul 2 2 2 2 2 6-6 - 6-6 - 6 - Au Se Okt No De 2 7 - Jan 2 2 7-7 - Feb Mrz Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 13/16

5 45 4 35 3 25 2 15 1 5 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 3 3 3 3 3 3 3 3 3 3 3 3 4 4 4 4 4 4 4 4 4 4 4 4 5 5 5 5 5 5 5 5 5 5 5 5 6 6 6 6 6 6 6 6 6 6 6 6 7 7 7 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Cross Site Scripting (XSS) 5 8 1 2 4 3 2 3 2 5 4 1 2 1 1 1 4 1 3 1 2 3 2 1 4 5 6 5 1 3 4 3 6 3 8 6 4 6 3 2 2 7 2 Denial of Service (DoS) 1 2 6 7 5 24 7 8 12 1 8 4 5 1 12 5 17 4 13 12 16 1 9 15 6 12 19 3 6 25 4 12 15 24 4 25 1 1 9 12 14 13 16 2 24 15 21 32 11 2 Designfehler 1 3 3 6 4 1 6 6 6 9 1 2 7 3 9 1 8 8 1 5 19 2 2 29 44 16 3 36 14 15 18 12 13 12 7 15 12 12 27 23 13 14 19 7 12 19 11 7 3 1 Directory Traversal 1 3 1 1 1 1 2 2 1 1 2 1 2 1 1 3 4 1 1 1 Eingabeungültigkeit 1 3 1 2 1 1 2 1 1 3 2 2 1 1 1 1 1 3 1 2 1 3 11 4 Fehlende Authentifizierung 1 1 3 1 1 1 1 3 2 2 2 1 2 1 1 2 2 1 1 1 1 Fehlende Verschlüsselung 1 1 2 2 4 3 1 6 2 2 2 1 2 2 1 6 1 2 1 4 Fehlerhafte Leserechte 1 2 1 4 3 4 4 2 4 2 3 1 2 4 1 1 1 2 3 2 3 1 2 4 2 1 6 1 2 1 3 1 2 4 2 3 Fehlerhafte Schreibrechte 2 2 4 4 2 2 3 2 1 7 3 1 7 3 3 1 2 2 1 3 2 1 1 1 2 2 1 3 1 1 1 1 1 1 Format String 1 2 2 2 1 1 1 1 1 1 2 2 2 3 1 1 1 1 1 3 1 2 4 Konfigurationsfehler 2 1 2 2 4 1 1 8 5 5 1 1 1 1 2 1 6 1 Pufferüberlauf 3 7 9 7 8 28 11 16 2 14 8 7 13 6 15 8 11 7 8 13 29 14 22 19 14 2 26 22 6 14 15 16 19 12 8 18 17 13 17 2 2 17 19 27 12 17 23 24 24 3 Race-Condition 1 1 1 1 1 2 1 4 2 2 2 3 3 1 1 1 1 1 1 2 2 1 1 2 1 2 Schw ache Authentifizierung 1 1 5 1 1 4 2 3 3 1 2 1 2 1 5 1 6 2 2 1 1 1 1 1 1 1 3 4 4 1 4 2 Schw ache Verschlüsselung 1 1 1 1 1 1 1 1 1 1 2 2 1 1 1 1 1 SQL-Injection 2 1 1 1 1 1 1 1 1 1 1 1 1 1 Symlink-Schw achstelle 1 2 1 1 1 2 1 1 1 1 1 1 3 Umgehungs-Angriff 1 2 3 1 1 1 3 4 3 1 2 11 3 5 1 1 2 2 4 1 2 1 1 5 1 1 3 2 Unbekannt 2 4 5 1 6 2 1 3 1 8 1 8 7 2 2 2 6 1 6 1 1 5 2 4 1 5 7 4 1 4 6 6 7 11 5 1 Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 14/16

5. Bilderrätsel GESUCHTE AUSDRÜCKE 7 Buchstaben (engl.) 6 Buchstaben (engl.) 7 Buchstaben (engl.) LÖSUNGSWORT Wettbewerb Mailen Sie uns das erarbeitete Lösungswort an die Adresse mailto:info@scip.ch inklusive Ihren Kontakt-Koordinaten. Das Los entscheidet über die Vergabe des Preises. Teilnahmeberechtigt sind alle ausser den Mitarbeiterinnen und Mitarbeitern der scip AG sowie deren Angehörige. Es wird keine Korrespondenz geführt. Der Rechtsweg ist ausgeschlossen. Gewinnen Sie einen Monat des Securitytracker Dienstes )pallas(. Einsendeschluss ist der 15.4.27. Die GewinnerInnen werden nur auf ihren ausdrücklichen Wunsch publiziert. Die scip AG übernimmt keinerlei, wie auch immer geartete Haftung im Zusammenhang mit irgendeinem im Rahmen des Gewinnspiels an eine Person vergebenen Preises. Die Auflösung des Bilderrätsel finden Sie jeweils online auf http://www.scip.ch unter Publikationen > scip monthly Security Summary > Errata. 15/16

6. Literaturverzeichnis scip AG, 19. Februar 26, scip monthly Security Summary, smss Feedback http://www.scip.ch/publikationen/smss/scip_mss-19_2_26-1.pdf scip AG, 19. März 26, scip monthly Security Summary, smss Feedback Auswertung http://www.scip.ch/publikationen/smss/scip_mss-19_3_26-1.pdf Ruef, Marc, 22. Dezember 21, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, http://www.computec.ch/download.php?view.11 Ruef, Marc, 22, Intrusion Prevention Neue Ansätze der Computersicherheit, Computer Professional, Ausgabe 4-22, Seiten 1-14, http://www.computec.ch/download.php?view.32 Ruef, Marc, Februar 24, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies elearning und Wissensmanagement, http://www.computec.ch/download.php?view.481 Ruef, Marc, 23, Linux-Viren - Mythos oder Wirklichkeit?, Linux Enterprise Ausgabe: 9.23 http://linuxenterprise.de/itr/online_artikel/psecom,id,45,nodeid,9.html http://www.computec.ch/download.php?view.672 7. Impressum Herausgeber: scip AG Technoparkstrasse 1 CH-85 Zürich T +41 44 445 1818 mailto:info@scip.ch http://www.scip.ch Zuständige Person: Marc Ruef Security Consultant T +41 44 445 1812 mailto:maru@scip.ch scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 22 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 16/16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback