In KW21 wurde u.a. eine Schwachstelle in CUPS, Nessus und dem P2P-Netzwerk FastTrack entdeckt. Ferner gab Microsoft bekannt, dass die hauseigene Windows-Firewall (ICF, IPSec) kein IPv6 filtern kann.

• [Generic/CUPS] Denial of Service Schwachstelle in CUPS
  Der Print Spooler CUPS weist eine Denial of Service (DoS) Schwachstelle in der Internet Printing Protocol (IPP) Implementierung auf.
• [Generic/Nessus] Lokale Privilegienerweiterung durch Schwachstelle in Nessus Scripting Engine
  Nessus vor Version 2.0.6 weist eine Schwachstelle in der NASL Scripting Engine auf, durch die Benutzer, die einen gültigen Nessus-Account haben und die Möglichkeit besitzen Nessus-Plugins auf dem Server abzulegen, Programmcode mit root-Privilegien auf dem Nessus-Server ausführen können. Sofern in der Konfigurationsdatei "nessusd.conf" die Option "plugins_upload" auf "no" gesetzt ist, haben Naessus-Benutzer diese Möglichkeit nicht. Diese Konfiguration ist voreingestellt.
• [Generic/FastTrack] Schwachstelle im P2P-Netzwerk FastTrack
  Das FastTrack (FT) Netzwerk, welches z.B. von P2P-Programmen wie KaZaA, Grokster und iMesh verwendet wird, weist eine Schwachstelle auf, durch die Supernodes kompromittiert werden können. Supernode im FastTrack-Netzwerk kann jeder verbundene P2P-Client werden, wodurch alle P2P-Clients, die das FastTrack-Netzwerk verwenden, potentiell verwundbar sind.
• [MS/ICF,IPSec] Internet Connection Firewall und IPSec-Paketfilter filtern kein IPv6
  Die Internet Connection Firewall (ICF) von Microsoft Windows XP und Server 2003 kann ebensowenig wie Windows 2000/XP/2003 IPSec-Paketfilter das Internet Protocol Version 6 (IPv6) filtern.
• [MS/Windows 2000] Sicherheitsrichtlinien werden bei Domänen die den String "inf" im FQDN beinhalten nicht korrekt verarbeitet
  Windows 2000 ohne Service Pack 3 weist eine Schwachstelle auf, durch die Sicherheitseinstellungen in Group Policy Objects (GPO) nicht korrekt verarbeitet werden, falls der Fully Qualified Domain Name (FQDN) den String "inf" (z.B. "east.info.gov") beinhaltet.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/