You are here: Home » Aktuelle Meldungen » Archiv
Sorry, this page is not translated yet.

Archiv für April 2007

April 2007

  • [Generic/IPv6] Schwachstelle im IPv6-Routing (2007-04-30)
    Ein Designfehler im IPv6-Protokoll (RFC2460) kann von einem Angreifer dazu ausgenutzt werden, einen Denial of Service-Angriff zu fokussieren oder andere Angriffe auf Netzwerke durchzuführen. In besonderen Szenarien könnte beispielsweise das Routing an Firewalls vorbei möglich sein.
  • [Generic/Asterisk] Mehrere Schwachstellen in Asterisk (2007-04-26)
    In der Open Source IP PBX-Software Asterisk der Versionen vor 1.2.18 und 1.4.3 existieren mehrere Schwachstellen. Diese können von einem Angreifer dazu ausgenutzt werden, durch das Senden speziell formulierter SIP-Pakete beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen oder es in einen unbenutzbaren Zustand zu versetzen. Eine weitere Schwachstelle im Manager-Interface kann bei einer besonderen Konfiguration von einem Angreifer dazu ausgenutzt werden, den Server zum Absturz zu bringen. Asterrisk stellt neue Versionen der Sorftware bereit, die nicht gegen diese Schwachstellen verwundbar sind.
    • [Generic/Asterisk] Mehrere Schwachstellen in Asterisk (2007-07-19)
      Mehrere Schwachstellen in der IP PBX-Software Asterisk können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem auszuführen oder es in einen unbenutzbaren Zustand zu versetzen. Es stehen neue Versionen zur Verfügung, in denen die Schwachstellen behoben sind.
  • [Cisco/WLAN] Mehrere Schwachstellen im Cisco Wireless Controlsystem (2007-04-15)
    Mehrere Schwachstellen im Cisco Wireless Control System (WCS) können von einem Angreifer dazu ausgenutzt werden, Information unautorisiert auszulesen, die eigenen Privilegien unautorisiert zu erweitern und durch voreingestelle Authentifizierungsdaten unautorisiert Zugriff zum System zu erlangen. Cisco stellt Patches zur Behebung der Schwachstellen bereit.
  • [Cisco/WLAN] Mehrere Schwachstellen im WLAN Controller und Leightweight AP (2007-04-15)
    Mehrere Schwachstellen in den Cisco Wireless LAN Controllers der Serien 2100 und 4400 sowie den Wireless LAN Controller Modules, dem Cisco Catalyst 6500 Series Wireless Services Module (WiSM), Cisco Catalyst 3750 Series Integrated Wireless LAN Controller, Cisco Wireless LAN Controller Module sowie den Cisco Aironet Access Points der Serien 1000 und 1500 können von einem Angreifer dazu ausgenutzt werden, das System in einen unbenutzbaren Zustand zu versetzen (DoS), beliebigen Programmcode mit administrativen Privilegen auf dem betroffenen System auszuführen und es so zu kompromittieren, Acess Control Lists (ACL) zu ändern und unautorisiert Information auszulesen. Cisco stellt Patches zur Behebung dieser Schwachstellen bereit.
  • [MS/Windows] Schwachstelle im RPC-Dienst des Domain Name System (DNS) Server Service (UPDATE) (2007-04-13)
    Eine Pufferüberlaufschwachstelle im RPC-Dienst des Microsoft DNS-Server kann von einem Angreifer durch das Senden entsprechend formulierter RPC-Pakete an das beherbergende Rechnersystem dazu ausgenutzt werden, beliebigen Programmcode mit SYSTEM-Privilegien auf dem beherbergenden Rechnersystem auszuführen. Die Schwachstelle wird bereits aktiv ausgenutzt.
  • [MS/Windows] Microsoft stellt Patches für insgesamt 15 Schwachstellen bereit (2007-04-11)
    Nachdem der traditionelle Microsoft Patch Day im März 2007 ausfiel stellt Microsoft nun Patches für insgesamt 15 Schwachstellen bereit, von denen 14 durch MS als kritisch und eine als wichtig eingestuft wird. Die Schwachstellen befinden sich in der Graphics Rendering Engine, den Routinen zur Verarbeitung von Windows Metafiles (WMF), den Routinen zur Verarbeitung von Enhanced Metafiles (EMF), den Routinen zur Verarbeitung von animated Cursors (s. a. RUS-CERT#1360), im Truetype Fonts Rasterizer, im Content Management Server, im Universal Plug and Play service (UPnP), in den Routinen zur Verarbeitung von URLs des Microsoft Agent, im Windows Client/Server Run-time Subsystem (CSRSS) sowie im Windows Kernel. Die Auswirkungen sind unterschiedlich und reichen vom Versetzen des beherbergenden Rechnersystem in einen unbenutzbaren Zustand (DoS) über die Erweiterung der Privilegien ordnungsgemäß authentifizierter Benutzer bis zur Ausführung beliebigen Programmcodes mit administrativen Privilegien auf dem beherbergenden Rechnersystem über eine Netzwerkverbindung. Daher wird die Installation der bereitgestellten Patches dringend empfohlen.
  • [IMF2007/CfP] Zweiter Call for Papers (2007-04-10)
    Die vom 11. bis 12. September 2007 stattfindende dritte internationale Konferenz zu IT-Incident Management und IT-Forensik (IMF 2007) ruft zur Einreichung von wissenschaftlichen und Praxispapieren im Fachgebiet der IT-Sicherheit, insbesondere der Vorfallsbearbeitung und dem Bereich der CERTs und CSIRTs sowie der IT-Forensik auf. Die Einreichungsfrist endet am 14. Mai 2007. Alle Papiere werden von einem fachlich hochkarätigen Programmkommitee begutachtet und zum Vortrag angenommene Papiere werden in einem Konferenzband veröffentlicht.
    • [GI/IMF 2007] Deadline für Einreichungen verlängert (2007-05-21)
      Der Termin, bis zu dem Papiere für die dritte internationale Konferenz zu IT-Incident Management und IT-Forensik (IMF 2007) eingereicht werden können, wurde bis zum 4. Juni 2007 verlängert. Einreichungen sollen dem Format der Lecture Notes in Informatics (LNI) entsprechen und müssen in englischer Sprache gehalten sein.
  • [WLAN/WEP] WEP in weniger als 60 Sekunden brechen (2007-04-05)
    Erik Tews, Ralf-Philipp Weinmann und Andrei Pyshkin von der technischen Universitär Darmstadt zeigen in ihrem Papier "Breaking 104 bit WEP in less than 60 seconds" eine Methode, mit der die derzeit am häufigsten verwendete WLAN-Verschlüsselung Wired Equivalent Privacy (WEP) mit aktueller, handelsüblicher Technik quasi im Handumdrehen gebrochen werden kann. WEP ist damit noch sehr viel unsicherer, als bislang angenommen. Mit bisher vorgestellten Methoden zur Entschlüsselung eines WEP-Keys benötigte man zwischen 500.000 und einer Million mitgeschnittener Pakete (die durch den Angreifer mittels spezieller Anfragen provoziert werden können) und zehn und 40 Minuten Zeit. Die im genannten Papier vorgestellte Methode kommt dagegen mit 40.000 Paketen aus, um den WEP-Schlüssel zu errechnen und Zugang zu einem mit WEP gesicherten WLAN zu erhalten. Dies sei mit heutiger Technik in weniger als einer Minute bewerkstelligbar. Damit müssen WEP-gesicherte Funknetze vollends als offen betrachtet werden. Insbesondere im Zusammenhang mit dem Urteil gegen eine Betreiberin eines offenen WLANs, das sie für die von Dritten über diesen Zugagng begangenen Rechtsverletzungen verantwortlich macht (Landgericht Hamburg 308 O 407 / 06), können diese Erkenntnisse erhebliche Bedeutung gewinnen.
  • [Generic/Kerberos] Mehrere Schwachstellen in Kerberos-Implementierungen (2007-04-04)
    Drei Schwachstellen im Authentifizierungs- und Autorisierungsmanagementsystem Kerberos 5 können von Angreifern dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Kerberos-Systems auszuführen oder das beherbergende Rechnersystem in einen unbenutzbaren Zustand zu versetzen.

Andere Monate

2017

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000