[Wochenübersicht KW20] Was sonst noch in KW20 passiert ist
(2003-05-26 13:32:37.59088+00)
In KW20 wurde eine DoS-Schwachstelle in der aktuellen Opera-Version 7.11, sowie eine format string-Schwachstelle im Programm cdrecord unter Linux entdeckt. Außerdem liefert IBM mit den aktuellen AIX-Versionen offenbar immer noch eine sendmail-Konfiguration aus, die dazu führt, daß standardmäßig installierte Systeme mit ungefiltertem SMTP-Port als offene Mail-Relays mißbraucht werden können.
- [Generic/Opera] Schwachstelle in der Java VM in Opera 7.11
Die Java Virtual Machine (1.4.1_01) der jüngst herausgegebenen Version 7.11 des Webbrowsers Opera besitzt eine DoS-Schwachstelle. - [GNU Linux/cdrecord] Schwachstelle in cdrecord
Das Programmcdrecord (1)zum Schreiben von Audio-CDs besitzt in der Version 2.0 eine format string-Schwachstelle, die von einem Benutzer mit interaktivem Zugang zum Rechnersystem dazu ausgenutzt werden kann,root-Rechte zu erlangen. Als Workaround kann diesetuid=0 (root)-Flagge von/usr/bin/cdrecordentfernt werden. - [AIX/sendmail] sendmail unter IBM AIX voreingestellt als offenes Relay konfiguriert
Offenbar wird sendmail unter aktuellen AIX mit einer Konfiguration ausgeliefert, die offenes Mail-Relaying ermöglicht. Dies führt dazu, daß standardmäßig installierte Systeme mit ungefiltertem Port 25 für das unauthentifizierte Weiterverteilen von E-Mail verwendet werden können, eine beliebte Technik von Spammern, die Herkunft der versandten Nachrichten zu verschleiern. Seit mehreren Jahren gibt es Projekte, die offene Mail-Relays auf schwarze Listen setzen. Betroffene Systembetreiber müssen dann mit erheblichen Schwierigkeiten beim Versenden von Nachrichten rechnen, da Teilnehmer dieser Projekte keine Mail von Systemen auf der schwarzen Liste annehmen.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1108