Sie sind hier: Home » Aktuelle Meldungen » Archiv

Archiv für 2004

Dezember 2004

  • [Generic/phpBB] Santy Wurm nutzt Schwachstelle in phpBB aus [Update] (2004-12-21)
    Derzeit breitet sich der Wurm Santy aus, der Webserver infiziert, auf denen eine verwundbare Version der freinen Forensoftware phpBB installiert ist. Nach erfolgreicher Infektion nutzt er die Suchmaschine Google, um nach weiteren verwundbaren Systemen zu suchen. Seit 2004-12-22 blockiert Google Anfragen die die Syntax der Anfragen des Wurmes aufweisen.
    • [Generic/phpBB] phpBB 2.0.17 schließt Sicherheitslücke (2005-07-20)
      Die Version 2.0.17 der freien Foren-Software phpBB schließt eine Cross-Site-Scripting-Schwachstelle, die es erlaubt, die Cookies eines Benutzers des Forums an ein beliebiges System zu verschicken. Es existiert bereits funktionierender Exploit-Code für den Internet Explorer. Derzeit wird phpBB einem kompletten Security Audit unterzogen, so daß ein weiteres Major-Release in Aussicht steht.
    • [Generic/phpBB] Weitere Schwachstelle im Highlighting-Code von phpBB - Angriffe erfolgen (2005-06-30)
      Eine Schwachstelle im Highligting-Code der Forensoftware phpBB der Version 2.0.15 ermöglicht Angreifern die Ausführung beliebigen Programmcodes mit den Privilegien des PHP-Interpreters auf dem beherbergenden Rechnersystem.
      Das RUS-CERT beobachtet bereits Angriffsversuche.
    • [Generic/phpBB] Zwei Schwachstellen in phpBB 2.0.12 (2005-03-01)
      Eine Schwachstelle in der im Dezember veröffentlichten Version 2.0.12 der Forensoftware phpBB ermöglicht Angreifern die Erlangung von phpBB-Administratorrechten. Eine weitere Schwachstelle im Skript viewtopic.php ermöglicht Angreifern, den kompletten Pfad zu ermitteln, unter dem das Skript auf dem beherbergenden Rechnersystem installiert ist. Die phpBB Version 2.0.13 behebt beide Probleme.
      (Diese Schwachstellen sind verschieden von den zwei Schwachstellen, die im Dezember 2004 mit der Veröffentlichung der Version 2.0.12 behoben wurden.)
  • [Generic/Samba] Schwachstelle erlaubt Privilegienerweiterung (2004-12-21)
    Eine Schwachstelle in den Routinen zur Speicherreservierung für Dateideskriptoren kann von einem Angreifer mit regulärem, nichtprivilegiertem Zugriff auf eine Freigabe dazu ausgenutzt werden, beliebigen Programmcode auf dem den Samba-Server beherbergenden Rechnersystem auszuführen. Patches zur Behebung der Schwachstelle sind verfügbar. (CAN-2004-1154)
  • [MS/Windows] Kritische Schwachstelle in WINS (Update: Patches verfügbar) (2004-12-15)
    Der Windows Internet Naming Service (WINS) unter Microsoft Windows NT/2000/XP/2003 weist eine kritische Schwachstelle auf. Ein Angreifer kann durch ein spezielles Paket an den WINS (TCP/UDP-Port 42) Kontrolle über das beherbergende Rechnersystem erlangen. Patches zur Behebung dieser Schwachstelle liegen nun vor.
  • [Generic/wget] Schwachstelle in wget erlaubt beliebige Dateien zu löschen oder anzulegen (2004-12-13)
    Das Programm wget, das für das nicht-interaktve herunterladen von Daten via HTTP, HTTPS und FTP z.B. in Skripten verwendet werden kann, besitzt eine Schwachstelle. Diese kann dazu führen, daß beliebige Dateien innerhalb des Dateibaumes an dessen Wurzel wget aufgerufen wird, neu erzeugt oder Dateien überschrieben werden.
  • [MS/IE] Schwachstelle im Internet Explorer - Malware in Umlauf (Update: Patches verfügbar) (2004-12-02)
    Eine Pufferüberlaufschwachstelle im Code zur Verarbeitung von FRAME, IFRAME und EMBED-Elementen des IE Version 6 unter Windows 2000 und XP Service Pack 1 kann dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Benutzers auf dem beherbergenden System auszuführen. Es sind bereits diverse Varianten des Mydoom-Wurmes in Umlauf, die diese Schwachstelle aktiv zur Infektion verwundbarer Systeme ausnutzen. Microsoft stellt mittlerweile Patches bereit, die diese Schwachstelle beheben.

November 2004

  • [MS/Windows] Sober.I verbreitet sich (2004-11-19)
    Seit heute verbreitet sich eine neue Variante des Sober-Wurmes als Attachments an E-Mail-Nachrichten. Wie schon andere Varianten des Wurmes, fügt er infektiösen Nachrichten Zeilen hinzu, die andeuten sollen, dass die Nachricht auf Viren überprüft und daher sauber sei. Nach Infektion installiert sich der Wurm auf dem System und verändert die Windows Registry. Er ist in der Lage, auf befallenen Systemen verschiedene Antivirenprogramme zu deaktivieren. Sober.I verbreitet sich in Nachrichten mit englischem und deutschem Text.
    Um ein System zu infizieren ist Interaktion des Benutzers erforderlich, der das Attachment öffnen muß. Infektionen können durch Beachtung allgemeiner Hinweise zu Viren und Würmern wirksam verhindert werden. Information zu dieser Variante findet sich u.a. bei Symantec sowie beim BSI.
  • [Cisco/ACS] Cisco Secure Access Control Server akzeptiert beliebige Zertifikate (2004-11-03)
    Eine Schwachstelle in den AAA-Implementierungen CiscoSecure Access Control Server (ACS) for Windows und Cisco Secure ACS Solution Engine der Version 3.3.1 führt dazu, daß die Produkte bei der Authentifizierung eines Benutzers über Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ein beliebiges kryptographisch korrektes Zertifikat akzeptieren.

Oktober 2004

September 2004

August 2004

  • [MS/PuTTY] Schwachstelle im SSH-Client PuTTY (2004-08-04)
    Der Telnet/SSH-Client PuTTY weist eine Schwachstelle auf, durch die speziell präparierte SSH-Server beliebigen Programmcode auf dem Client-System ausführen können. Ein Upgrade auf Version 0.55 bzw. einen Entwicklungsschnappschuss nach dem 03.08.2004 wird dringend angeraten.
    • [MS/PuTTY] Schwachstelle im SSH-Client PuTTY (2004-10-26)
      Der Telnet/SSH-Client PuTTY weist eine Schwachstelle auf, durch die speziell präparierte SSH-Server beliebigen Programmcode auf dem Client-System ausführen können. Ein Upgrade auf Version 0.56 bzw. einen Entwicklungsschnappschuss nach dem 25.10.2004 wird dringend angeraten.

Juli 2004

  • [Generic/BSCW] File-Sharing über BSCW (2004-07-28)
    Viele BSCW-Installationen können von organisationsfremden Benutzern eingesetzt werden, um große Datenmengen auszutauschen. Verstärkt werden diese nicht abgeschotteten BSCW-Server derzeit zum Austausch rechtswidriger Inhalte eingesetzt.
  • [Generic/Samba] Zwei Schwachstellen in Samba (2004-07-23)
    Die SMB-Serversoftware Samba der Versionen 3.0.0 bis 3.0.4 sowie 2.2.0 bis 2.2.9 enthält zwei Pufferüberlaufschwachstellen. Eine Schwachstelle im Samba Web Administration Tool (SWAT) ermöglicht Angreifern die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem, über die Angriffsmöglichkeiten die sich durch die zweite Schwachstelle ergeben, ist noch nichts bekannt. Neue Samba-Releases, die diese Probleme beheben, sind verfügbar.
  • [Generic/PHP] Schwachstelle in PHP (2004-07-15)
    Eine Schwachstelle in den PHP-Interpretern der Versionen bis 4.3.7 und 5.0.0ORC3 ermöglicht Angreifern über eine Netzwerkverbindung beliebigen Programmcode auf dem beherbergenden Rechnersystem mit den Privilegien des PHP-Servers auszuführen.
  • [MS/Windows] Microsoft stellt sieben Sicherheitsupdates bereit (2004-07-14)
    Microsoft hat sieben Sicherheitsupdates veröffentlicht, die teils kritische Schwachstellen in den Microsoft-Betriebssystemen und dem Internet Explorer bzw. Outlook Express beheben.
  • [MS/Adobe Reader] Schwachstelle in Adobe Reader 6.0.1 und Acrobat 6.0.1 (2004-07-13)
    Eine Schwachstelle in Adobes Reader der Version 6.0.1 und vermutlich auch früheren Versionen ermöglicht Angreifern die Ausführung beliebigen Programmcodes mit den Privilegien des den Reader ausführenden Benutzers. Der Angreifer muß zu diesem Zwecke dem Opfer lediglich eine entsprechend präparierte PDF-Datei unterschieben und es dazu veranlassen, diese mit einem verwundbaren Reader zu betrachten - ein in der Praxis durchaus leicht durchführbarer Angriff. Der verwundbare Code ist offenbar auch in Acrobat 6.0.1 enthalten und betrifft nur Versionen für Microsoft Windows Betriebssysteme.
    Adobe bietet einen Update auf Adobe Reader 6.0.2, sowie einen Update auf Version 6.0.2 für Acrobat Standard und Professional zum Download an.
    (CAN-2004-0632, Adobes Ankündigung der Version 6.0.2)

Juni 2004

  • [Generic/DHCP] Zwei Schwachstellen im ISC DHCP-Server (2004-06-23)
    Zwei Pufferüberlaufschwachstellen im Code für das Logging des DHCP-Servers des Internet Systems Consortiums (ISC) ermöglichen Angreifern durch das Senden mehrerer Hostnames, den Server zum Absturz zu bringen. Die Schwachstellen können potentiell zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden.

Mai 2004

  • [Generic/Apache] Schwachstelle in mod_ssl (2004-05-28)
    Bei der Verarbeitung von Benutzerzertifikaten durch das Krypto-Modul mod_ssl kann ein Pufferüberlauf provoziert werden, wenn der Distinguished Name (DN) des Zertifikates länger als sechs Kilobyte ist.
  • [Generic/Mailman] Paßwort-Leck bei Mailman 2.1 (2004-05-27)
    Eine Schwachstelle im Mailinglisten-Manager Mailman 2.1 bis Version 2.1.4 ermöglicht, daß Listenteilnehmer die Paßwörter anderer Listenteilnehmer auslesen können.
  • [Generic/Apache] Neue Apache-Versionen beheben Schwachstellen (2004-05-24)
    Mit Apache-Version 1.3.31 wurden Schwachstellen behoben, unter anderem eine mit der Authentifizierung über mod_digest. Einige der Schwachstellen betreffen auch Apache 2.0 und werden mit Version 2.0.49 behoben.
  • [Generic/KDE] Schwachstelle im URI-Handler (2004-05-19)
    Ungenügende Eingabeprüfung bei den kdelibs-Funktionen zur Implementierung der Handlers von telnet:, rlogin:, ssh: und mailto: URIs in KDE kann von Angreifern dazu ausgenutzt werden, den aufgerufenen Programmen nicht intendierte Optionen zu übergeben. Dieser Umstand kann in besonderen Fällen dazu ausgenutzt werden, mittelbar beliebigen Programmcode mit den Privilegien des aufrufenden Benutzers auszuführen.
  • [MS/Windows] Erhöhte TCP/5000-Aktivität offenbar auf zwei unterschiedliche Würmer zurückzuführen (2004-05-18)
    Der allgemein beobachtete erhöhte TCP/5000-Netzverkehr ist offenbar auf zwei neue Würmer zurückzuführen. Der Bobax-Wurm nutzt TCP/5000-Scans als Detektionsmöglichkeit von Windows XP Systemen, um diese danach mit dem LSASS-Exploit (siehe auch den Sasser-Wurm) anzugreifen. Der zweite Wurm Kibuv.B nutzt offenbar u.a. die seit 2001 bekannte Universal Plug and Play (UPnP) Schwachstelle von Microsoft Windows XP zur Verbreitung aus.
  • [Generic/Symantec-Paketfilter] Schwachstelle in zahlreichen Symantec-Firewallprodukten (2004-05-13)
    Zahlreiche Symantec Firewallprodukte (z.B. Symantec Norton Internet Security, Personal Firewall, AntiSpam sowie Symantec Client Firewall und Client Security) weisen mehrere Schwachstellen auf. Durch diese Schwachstellen kann bei der Verarbeitung von DNS- bzw. NetBIOS-Paketen beliebiger Programmcode auf dem beherbergenden Rechnersystem ausgeführt werden. Symantec stellt Updates zur Verfügung. CAN-2004-0444, CAN-2004-0445
  • [MS/Windows] Schwachstelle im Hilfe und Support Center (2004-05-12)
    Eine Schwachstelle in der Verarbeitung von HCP URLs im Microsoft Help and Support Center kann von Angreifern dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des aufrufenden Benutzers auf dem beherbergenden Rechnersystem auszuführen. Für die betroffen Betriebssysteme Windows XP und Windows Server 2003 stellt Microsoft im Security Bulletin MS04-015 Patches zur Verfügung. (CAN-2004-0199, MS04-015 dt. Fassung)
  • [MS/Windows] Sasser-Wurm-Varianten kommen in rascher Folge (2004-05-03)
    Der Wurm Sasser verbreitet sich seit dem Wochenende massiv in verschiedenen Versionen, war allerdings schon vorher aktiv. Mittlerweile ist bereits die 'D'-Variante in Umlauf, was z.T. zu Schwierigkeiten bei seiner Erkennung durch Virenscanner führt. Das Entfernungswerkzeug Stinger erkennt diese letzte Variante derzeit ebenfalls nicht. Der Wurm verbreitet sich nicht über E-Mail-Nachrichten sondern scanned auf Port 445/TCP nach Systemen, die gegen die in der RUS-CERT-Meldung#1191 beschriebenen LSASS-Schwachstelle verwundbar sind. Über diese Schwachstelle kompromittiert er neue Systeme und kopiert den Wurmcode mittels eines FTP-Servers, der auf dem angreifenden System zu diesem Zweck vom Wurm installiert wurde, auf das neue System. Der FTP-Server lauscht auf infizierten Systemen auf Port 5554. Daneben installiert der Wurm eine Hintertür, offenbar auf verschiedenen Ports (u.a. 9996). Infizierte Systeme können spontan rebooten. Fehlgeschlagene Infektionsversuche können ebenfalls zum Systemneustart führen.

April 2004

März 2004

  • [Generic] Neuer UDP-basierter Wurm "Witty" verbreitet sich (Update) (2004-03-20)
    Ein neuer Wurm verbreitet sich über UDP-Pakete und zerstört Festplatteninhalte. Ähnlich wie beim Slammer-Wurm kann es zur Überlastung des Netzes in der Nähe von infizierten Hosts kommen. Der Angriff richtet sich gegen Systeme, die die BlackICE- oder RealSecure-Software von ISS in verwundbaren Versionen einsetzen.
  • [MS/Windows] Bagle.Q/Beagle.Q beschreitet neue Verbreitungswege (2004-03-18)
    Die Q-Variante des Bagle/Beagle-Wurmes verbreitet sich nicht mehr, indem sie sich als Attachment selbst verschickt. Der Schädling verschickt vielmehr eine sog. "Carrier" E-Mail-Nachricht, die beim Öffnen eine Schwachstelle des Internet Explorers - sofern der IE zur Betrachtung von HTML-Nachrichten verwendet wird - ausnutzt und dann versucht, den eigentlichen Wurmcode über den TCP-Port 81 des Systems, von dem die "Carrier" Nachricht empfangen wurde, zu laden. Die ausgenutzte Schwachstelle wurde bereits im Microsoft Security Bulletin MS03-040 beschrieben, Patches sind seit Oktober 2003 verfügbar. Bagle.Q/Beagle.Q versucht auch, sich wie frühere Varianten über P2P-Netzwerke zu verbreiten.
  • [MS/Office XP, Outlook 2002] Schwachstelle in Microsoft Outlook (2004-03-11)
    Microsoft Outlook 2002 weist eine Schwachstelle auf, durch die ggf. Programmcode im Sicherheitskontext des Benutzers ausgeführt werden kann. Ist Outlook als Default-E-Mail-Client konfiguriert, kann die Schwachstelle auch über eine Webseite, die einen "mailto:" URI beinhaltet, ausgenutzt werden. Office XP mit dem neu erschienenen Service Pack 3 ist nicht betroffen. Für Office XP mit Service Pack 2 bzw. Outlook 2002 steht ein Patch zur Verfügung. (CAN-2004-0121, dt. Fassung)
  • [Generic/Mozilla] Zahlreiche Schwachstellen in Mozilla (Update) (2004-03-10)
    In der Web-Suite Mozilla werden fortlaufend Schwachstellen behoben. Auf diese Schwachstellen wird üblicherweise nicht in Security-Advisories seitens Mozilla oder GNU/Linux-Distributoren hingewiesen.
  • [MS/Windows] Bagle.J/Beagle.J verbreitet sich (2004-03-03)
    Die 'J'-Version des Bagle/Beagle-Wurms verbreitet sich derzeit per E-Mail. Der Wurm fälscht Absenderadressen und formatiert die Nachricht so, daß sie zum Absender paßt. Im Anhang befindet sich eine verschlüsselte ZIP-Datei, deren Paßwort in der Nachricht enthalten ist. Weitere Verbreitungswege sind P2P-Netzwerke, wie Kazaa und iMesh.
    • [MS/Windows] Bagle.Q/Beagle.Q beschreitet neue Verbreitungswege (2004-03-18)
      Die Q-Variante des Bagle/Beagle-Wurmes verbreitet sich nicht mehr, indem sie sich als Attachment selbst verschickt. Der Schädling verschickt vielmehr eine sog. "Carrier" E-Mail-Nachricht, die beim Öffnen eine Schwachstelle des Internet Explorers - sofern der IE zur Betrachtung von HTML-Nachrichten verwendet wird - ausnutzt und dann versucht, den eigentlichen Wurmcode über den TCP-Port 81 des Systems, von dem die "Carrier" Nachricht empfangen wurde, zu laden. Die ausgenutzte Schwachstelle wurde bereits im Microsoft Security Bulletin MS03-040 beschrieben, Patches sind seit Oktober 2003 verfügbar. Bagle.Q/Beagle.Q versucht auch, sich wie frühere Varianten über P2P-Netzwerke zu verbreiten.

Februar 2004

Januar 2004

  • [MS/Generic] E-Mail-Wurm Novarg/Mydoom verbreitet sich massiv (2004-01-27)
    Der E-Mail-Wurm "Novarg/Mydoom" verbreitet sich derzeit rasant. Nach Infektion eines Systems installiert der Wurm eine Hintertür im befallenen System, die es potentiell in eine Angriffsplattform gegen weitere Systeme verwandelt. Die derzeit in Umlauf befindliche Version wird von befallenen Systemen aus am 2004-02-01 einen DoS-Angriff gegen Systeme der SCO-Group starten. Diese Version wird am 2004-02-12 seine Weiterverbreitung selbst stoppen.
    • [MS/IE] Schwachstelle im Internet Explorer - Malware in Umlauf (Update: Patches verfügbar) (2004-12-02)
      Eine Pufferüberlaufschwachstelle im Code zur Verarbeitung von FRAME, IFRAME und EMBED-Elementen des IE Version 6 unter Windows 2000 und XP Service Pack 1 kann dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Benutzers auf dem beherbergenden System auszuführen. Es sind bereits diverse Varianten des Mydoom-Wurmes in Umlauf, die diese Schwachstelle aktiv zur Infektion verwundbarer Systeme ausnutzen. Microsoft stellt mittlerweile Patches bereit, die diese Schwachstelle beheben.
  • [Generic/H.323] Schwachstellen in mehreren H.323-Implementierungen (2004-01-14)
    Mehrere Schwachstellen in verschiedenen Implementierungen des Multimedia-Protokolls H.323 können dazu ausgenutzt werden, beliebigen Programmcode auf verwundbaren Systemen auszuführen oder solche in einen unbenutzbaren Zustand zu versetzen (Denial of Service).
  • [MS/Exchange Server 2003] Schwachstelle ermöglicht Zugriff auf das Postfach anderer Benutzer (2004-01-14)
    Microsoft Exchange 2003 Server weisen eine Schwachstelle bei der NTLM-Authentifizierung per Outlook Web Access (OWA) auf, da HTTP Verbindungen unter bestimmten Umständen wiederverwendet werden. Authentifizierte Benutzer erhalten durch diese Schwachstelle ggf. Zugriff auf das Postfach eines zuvor an dem Server authentifizierten Benutzers. In der Standardkonfiguration wird eine Authentifizierung per Kerberos vorgenommen, bei der diese Schwachstelle nicht auftritt.
    Referenzen: CAN-2003-0904, MS04-002 (dt. Version)
  • [MS/MDAC] Kritische Schwachstelle in MDAC (2004-01-14)
    Im MS Security Bulletin MS04-003 wird eine Pufferüberlaufschwachstelle in den Microsoft Data Access Components der Versionen 2.5, 2.6, 2.7 und 2.8 beschrieben, die es Angreifern über eine Netzwerkverbindung ermöglichen, beliebigen Programmcode mit den Privilegien einer MDAC-Anwendung auszuführen (remote user compromise). Sollte diese Anwendung SYSTEM-Privilegien besitzen, so kann diese Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems ausgenutzt werden (remote root compromise). MDAC ist Bestandteil zahlreicher Microsoft-Komponenten (z.B: Microsoft Office, SQL Server). Microsoft stellt einen Patch zur Verfügung.
    Referenzen: CAN-2003-0903, MS04-003 (dt. Version)

Andere Monate

2016

2015

2014

2013

2012

2011

2010

2009

2008

2007

2006

2005

2004

2003

2002

2001

2000