F
Fireglider
PowerUser Sir Henry
- Dabei seit
- 12.12.1999
- Beiträge
- 14.335
- Reaktionspunkte
- 9
Kritische Sicherheitslücke bei Windows 98 bis XP
Microsoft empfiehlt schnelles Einspielen des Patches
Redmond (pte, 20. März 2003 11:09) - Microsoft warnt vor einer kritischen Sicherheitslücke, die alle Windows-Versionen von Windows 98 bis Windows XP betrifft. Wie der Softwarekonzern in seinem Security-Bulletin mitteilt, liegt der Fehler in der Windows Script Engine bei der Verarbeitung von JScript. Microsoft empfiehlt allen Benutzern von Windows den Patch so schnell wie möglich zu installieren. Als provisorische Maßnahme kann auch die Unterstützung für Active Scripting im Internet Explorer deaktiviert werden. http://www.microsoft.com/security/security_bulletins/ms03-008.asp
Die Windows Script Engine ermöglicht es dem Betriebssystem Scripts von Webseiten zu behandeln. Scripts werden dazu verwendet, zusätzliche Funktionen in Webseiten oder einem Programm zu integrieren, und können in mehreren unterschiedlichen Sprachen wie Visual Basic Script oder Jscript geschrieben sein. Um die Sicherheitslücke auszunützen, muss ein Angreifer eine speziell präparierte Webseite zusammenstellen. Sobald das Opfer die Webpage besucht, kommt der gewünschte Code des Angreifers zur Ausführung. Dabei erhält der Angreifer alle Privilegien des Benutzers. Die Webpage kann entweder auf einem Webserver bereitgestellt werden oder direkt an das Opfer als HTML-Mail versandt werden.
In diesem Szenario kann es zu einer automatischen Ausführung des Angriffs kommen, ohne dass der Benutzer auf den Link klickt. Nicht betroffen sind Outlook Express 6.0 und Outlook 2002 in der Grundeinstellung sowie Outlook 98 und 2000 mit dem entsprechenden Sicherheitsupdate. http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q235309&id=KB;EN-US;Q235309 (Ende)
_______________________________
Sicherheitsloch im Linux-Multiuser-Betrieb
Der Kern des Betriebssystems Linux enthält einen Fehler, der es lokalen Benutzern erlaubt, auf dem System Root-Rechte zu erlangen. Betroffen sind die Kernel-Versionen 2.2 und 2.4 und damit nahezu alle Linux-Systeme, die seit 1999 installiert wurden, und bei denen der Administrator die Möglichkeit, Kernel-Module nachträglich zu laden, nicht explizit abgeschaltet hat. Es existiert auch bereits ein fertiger Demo-Exploit, der einem Angreifer direkt eine Shell mit Root-Rechten beschert.
Allerdings lässt sich der Fehler nicht ohne direkten Zugang -- also remote von einem beliebigen anderen System aus -- ausnutzen; der Angreifer muss also bereits einen Zugang auf dem attackierten Computer haben. Wo Linux also im Multiuser-Betrieb genutzt wird, sollten Administratoren schleunigst ein Kernel-Update einspielen. Auf Servern, auf denen regulär nur Adminstratoren Zugang haben, ist die Lücke nicht ganz so ernst; man sollte jedoch auch dort den Patch einspielen und sich gegen den Fall absichern, dass ein anderes Sicherheitsloch Angreifern einen Zugang mit eingeschränkten Rechten ermöglicht, der dann über den Kernel-Bug sofort zur Root-Shell ausgebaut werden könnte.
Auf dem zentralen Kernel-Archiv steht ein Patch für die Version 2.2 bereit; Red Hat bietet bereits Kernel-Updates für 2.4er-Kernel (Red Hat 7.x, 8.0).
Der Bug beruht darauf, dass der Kernel das Nachladen von Modulen nicht ausreichend gegen externe Modifikationen absichert. So kann man über die Debug-Funktion ptrace() die Kontrolle über einen Prozess erlangen, der ein Modul nachladen soll und dort beliebigen eigenen Code einschleusen. Dieser wird dann mit Root-Rechten ausgeführt. (ju/c't)
Heise Link
______________________________
Hacker klaut unveröffentlichte Security-Advisories vom CERT
MÜNCHEN (COMPUTERWOCHE) - Ein Hacker mit dem Pseudonym "hack4life" hat unveröffentlichte Sicherheitswarnungen vom Server des CERT (Computer Emergency Response Team) gestohlen und in der öffentlich zugänglichen Security-Mailing-Liste Full-Disclosure publiziert. Die Warnungen über Sicherheitslücken in der Version 4 des Authentifizierungs-Protokolls Kerberos, in RSA-Private-Keys und in von Sun entwickelten Netzwerk-Bibliotheken, die in vielen Unix- und Linux-Distributionen integriert sind, sollten eigentlich nicht vor Juni 2003 an die Öffentlichkeit gelangen. Die Maßnahme sollte Herstellern Zeit geben, Bugfixes für betroffene Produkte zu entwickeln.
Die Sicherheitsprobleme waren von dem Unternehmen eEye Digital Security und von Forschern des MIT (Massachusetts Institute of Technology) entdeckt worden. Gemeinsam mit dem CERT hatten sich die Experten auf den Zeitplan für die Veröffentlichung entsprechender Advisories geeinigt. Diese Vorgehensweise stößt jedoch nicht auf uneingeschränkte Zustimmung. So lehnt es zum Beispiel Mark Litchfield von NGS Software ab, Informationen über Sicherheitslücken zurückzuhalten, da sich die Organisation ohnehin nur eingeschränkt daran halte. Diverse Behörden seien mehrfach vorab über Systemfehler informiert worden.
Laut Shawn Hernan, zuständig für die IT-Sicherheit beim CERT, ist noch nicht geklärt, wie der Hacker an die Advisories gelangte. Selbst wenn das Leck gefunden werde, sei es unwahrscheinlich herauszufinden, wer sich hinter hack4life verbirgt. (lex)
ComputerWoche Link
______________________
Windows-Patch macht Probleme
Nach Einspielen von IIS/WebDAV-Patch stürzen manche Systeme ab
Redmond (pte, 21. März 2003 11:55) - Nachdem Microsoft zu Beginn der Woche eine kritische Sicherheitslücke bei Windows-2000 mit einem Patch geflickt hatte, muss der Softwarekonzern nun nochmals nachlegen. Wie Microsoft in einer Ergänzung zu der ursprünglichen Security-Bulletin mitteilt, könnten unter bestimmten Umständen die gepachten Systeme nicht mehr booten. Die Sicherheitslücke hatte einige Unruhe bei Microsoft ausgelöst. Zumindest zwei Server der US-Army wurden über dieses Leck geknackt, bevor der Softwarekonzern den Patch veröffentlichen konnte. http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-007.asp
Von dem Fehler sind Windows-2000-Systeme betroffen, auf denen einer von zwölf Hotfixes aus den Produkt Support Services eingespielt wurde, die zwischen Dezember 2001 und Februar 2002 veröffentlicht wurden. Nach Angaben des Softwareunternehmens erhalten Benutzer, die einen dieser Hotfixes und Service Pack 2 sowie den Patch gegen die IIS/WebDAV-Sicherheitslücke eingespielt haben, eine Fehlermeldung beim Neustart des Systems. Laut Microsoft sind ohne diese Hotfixes und mit Service-Pack 3 für Windows 2000 keine Probleme zu erwarten.
In der überarbeiteten Security-Bulletin gibt Microsoft Anweisungen, wie die betroffenen Systeme wieder zum Laufen gebracht werden können. Die Benutzer sollen sich entweder an die Product Support Services wenden oder Service Pack 3 einspielen. (Ende)
Pressetext Link
_________________________________
Hacker greifen NSA an
Pressebüro erfolgreich geknackt
Fort Georg G. Meade (pte, 21. März 2003 10:52) - Nach einem Bericht des US-Dienstes SecurityFocus http://www.securityfocus.com/news haben Hacker ein IT-System der National Security Agency (NSA) http://www.nsa.gov geknackt. Dieser Geheimdienst ist auf die weltweite elektronische Überwachung von Kommunikationsverbindungen spezialisiert und für seine strenge Geheimhaltung berühmt. Wer sich allerdings einen erfolgreichen Angriff auf die ultra-geheimen Abhöranlagen der NSA erwartet hat, wird enttäuscht. Das Ziel der Hacker war nach Angaben von SecurityFocus das eher harmlose Pressebüro der Organisation. Dementsprechend sind den Angreifern keine vertraulichen Dokumente in die Hände gefallen sondern nur die Lebensläufe einiger Mitarbeiter sowie einige private E-Mails zwischen den NSA-Sprechern und einigen Medienunternehmen.
Als Beweis für ihren erfolgreichen Hack haben die Angreifer ein E-Mail mit ihren Beweisen geschickt, das mit "Nescafe Open Up" unterschrieben war. Es ist soweit bekannt der erste erfolgreiche Hack eines NSA-Computers. Über die Motive zum Angriff ist bisher nichts bekannt. Die Hacker haben jedenfalls noch nicht auf Versuche zur Kontaktaufnahme geantwortet. Das Beweis-E-Mail, das SecurityFocus erhalten hatte, enthielt zusätzlich noch einige Telefonnummern der NSA sowie eine Anweisung zum Umgang mit E-Mail-Problemen. Das selbe Dokument ist unter anderem auch auf der öffentlichen Seite des US-Verteidigungsministeriums zu finden. (pte-special Irak) (Ende)
Pressetext Link
___________________________________
Microsoft empfiehlt schnelles Einspielen des Patches
Redmond (pte, 20. März 2003 11:09) - Microsoft warnt vor einer kritischen Sicherheitslücke, die alle Windows-Versionen von Windows 98 bis Windows XP betrifft. Wie der Softwarekonzern in seinem Security-Bulletin mitteilt, liegt der Fehler in der Windows Script Engine bei der Verarbeitung von JScript. Microsoft empfiehlt allen Benutzern von Windows den Patch so schnell wie möglich zu installieren. Als provisorische Maßnahme kann auch die Unterstützung für Active Scripting im Internet Explorer deaktiviert werden. http://www.microsoft.com/security/security_bulletins/ms03-008.asp
Die Windows Script Engine ermöglicht es dem Betriebssystem Scripts von Webseiten zu behandeln. Scripts werden dazu verwendet, zusätzliche Funktionen in Webseiten oder einem Programm zu integrieren, und können in mehreren unterschiedlichen Sprachen wie Visual Basic Script oder Jscript geschrieben sein. Um die Sicherheitslücke auszunützen, muss ein Angreifer eine speziell präparierte Webseite zusammenstellen. Sobald das Opfer die Webpage besucht, kommt der gewünschte Code des Angreifers zur Ausführung. Dabei erhält der Angreifer alle Privilegien des Benutzers. Die Webpage kann entweder auf einem Webserver bereitgestellt werden oder direkt an das Opfer als HTML-Mail versandt werden.
In diesem Szenario kann es zu einer automatischen Ausführung des Angriffs kommen, ohne dass der Benutzer auf den Link klickt. Nicht betroffen sind Outlook Express 6.0 und Outlook 2002 in der Grundeinstellung sowie Outlook 98 und 2000 mit dem entsprechenden Sicherheitsupdate. http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q235309&id=KB;EN-US;Q235309 (Ende)
_______________________________
Sicherheitsloch im Linux-Multiuser-Betrieb
Der Kern des Betriebssystems Linux enthält einen Fehler, der es lokalen Benutzern erlaubt, auf dem System Root-Rechte zu erlangen. Betroffen sind die Kernel-Versionen 2.2 und 2.4 und damit nahezu alle Linux-Systeme, die seit 1999 installiert wurden, und bei denen der Administrator die Möglichkeit, Kernel-Module nachträglich zu laden, nicht explizit abgeschaltet hat. Es existiert auch bereits ein fertiger Demo-Exploit, der einem Angreifer direkt eine Shell mit Root-Rechten beschert.
Allerdings lässt sich der Fehler nicht ohne direkten Zugang -- also remote von einem beliebigen anderen System aus -- ausnutzen; der Angreifer muss also bereits einen Zugang auf dem attackierten Computer haben. Wo Linux also im Multiuser-Betrieb genutzt wird, sollten Administratoren schleunigst ein Kernel-Update einspielen. Auf Servern, auf denen regulär nur Adminstratoren Zugang haben, ist die Lücke nicht ganz so ernst; man sollte jedoch auch dort den Patch einspielen und sich gegen den Fall absichern, dass ein anderes Sicherheitsloch Angreifern einen Zugang mit eingeschränkten Rechten ermöglicht, der dann über den Kernel-Bug sofort zur Root-Shell ausgebaut werden könnte.
Auf dem zentralen Kernel-Archiv steht ein Patch für die Version 2.2 bereit; Red Hat bietet bereits Kernel-Updates für 2.4er-Kernel (Red Hat 7.x, 8.0).
Der Bug beruht darauf, dass der Kernel das Nachladen von Modulen nicht ausreichend gegen externe Modifikationen absichert. So kann man über die Debug-Funktion ptrace() die Kontrolle über einen Prozess erlangen, der ein Modul nachladen soll und dort beliebigen eigenen Code einschleusen. Dieser wird dann mit Root-Rechten ausgeführt. (ju/c't)
Heise Link
______________________________
Hacker klaut unveröffentlichte Security-Advisories vom CERT
MÜNCHEN (COMPUTERWOCHE) - Ein Hacker mit dem Pseudonym "hack4life" hat unveröffentlichte Sicherheitswarnungen vom Server des CERT (Computer Emergency Response Team) gestohlen und in der öffentlich zugänglichen Security-Mailing-Liste Full-Disclosure publiziert. Die Warnungen über Sicherheitslücken in der Version 4 des Authentifizierungs-Protokolls Kerberos, in RSA-Private-Keys und in von Sun entwickelten Netzwerk-Bibliotheken, die in vielen Unix- und Linux-Distributionen integriert sind, sollten eigentlich nicht vor Juni 2003 an die Öffentlichkeit gelangen. Die Maßnahme sollte Herstellern Zeit geben, Bugfixes für betroffene Produkte zu entwickeln.
Die Sicherheitsprobleme waren von dem Unternehmen eEye Digital Security und von Forschern des MIT (Massachusetts Institute of Technology) entdeckt worden. Gemeinsam mit dem CERT hatten sich die Experten auf den Zeitplan für die Veröffentlichung entsprechender Advisories geeinigt. Diese Vorgehensweise stößt jedoch nicht auf uneingeschränkte Zustimmung. So lehnt es zum Beispiel Mark Litchfield von NGS Software ab, Informationen über Sicherheitslücken zurückzuhalten, da sich die Organisation ohnehin nur eingeschränkt daran halte. Diverse Behörden seien mehrfach vorab über Systemfehler informiert worden.
Laut Shawn Hernan, zuständig für die IT-Sicherheit beim CERT, ist noch nicht geklärt, wie der Hacker an die Advisories gelangte. Selbst wenn das Leck gefunden werde, sei es unwahrscheinlich herauszufinden, wer sich hinter hack4life verbirgt. (lex)
ComputerWoche Link
______________________
Windows-Patch macht Probleme
Nach Einspielen von IIS/WebDAV-Patch stürzen manche Systeme ab
Redmond (pte, 21. März 2003 11:55) - Nachdem Microsoft zu Beginn der Woche eine kritische Sicherheitslücke bei Windows-2000 mit einem Patch geflickt hatte, muss der Softwarekonzern nun nochmals nachlegen. Wie Microsoft in einer Ergänzung zu der ursprünglichen Security-Bulletin mitteilt, könnten unter bestimmten Umständen die gepachten Systeme nicht mehr booten. Die Sicherheitslücke hatte einige Unruhe bei Microsoft ausgelöst. Zumindest zwei Server der US-Army wurden über dieses Leck geknackt, bevor der Softwarekonzern den Patch veröffentlichen konnte. http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-007.asp
Von dem Fehler sind Windows-2000-Systeme betroffen, auf denen einer von zwölf Hotfixes aus den Produkt Support Services eingespielt wurde, die zwischen Dezember 2001 und Februar 2002 veröffentlicht wurden. Nach Angaben des Softwareunternehmens erhalten Benutzer, die einen dieser Hotfixes und Service Pack 2 sowie den Patch gegen die IIS/WebDAV-Sicherheitslücke eingespielt haben, eine Fehlermeldung beim Neustart des Systems. Laut Microsoft sind ohne diese Hotfixes und mit Service-Pack 3 für Windows 2000 keine Probleme zu erwarten.
In der überarbeiteten Security-Bulletin gibt Microsoft Anweisungen, wie die betroffenen Systeme wieder zum Laufen gebracht werden können. Die Benutzer sollen sich entweder an die Product Support Services wenden oder Service Pack 3 einspielen. (Ende)
Pressetext Link
_________________________________
Hacker greifen NSA an
Pressebüro erfolgreich geknackt
Fort Georg G. Meade (pte, 21. März 2003 10:52) - Nach einem Bericht des US-Dienstes SecurityFocus http://www.securityfocus.com/news haben Hacker ein IT-System der National Security Agency (NSA) http://www.nsa.gov geknackt. Dieser Geheimdienst ist auf die weltweite elektronische Überwachung von Kommunikationsverbindungen spezialisiert und für seine strenge Geheimhaltung berühmt. Wer sich allerdings einen erfolgreichen Angriff auf die ultra-geheimen Abhöranlagen der NSA erwartet hat, wird enttäuscht. Das Ziel der Hacker war nach Angaben von SecurityFocus das eher harmlose Pressebüro der Organisation. Dementsprechend sind den Angreifern keine vertraulichen Dokumente in die Hände gefallen sondern nur die Lebensläufe einiger Mitarbeiter sowie einige private E-Mails zwischen den NSA-Sprechern und einigen Medienunternehmen.
Als Beweis für ihren erfolgreichen Hack haben die Angreifer ein E-Mail mit ihren Beweisen geschickt, das mit "Nescafe Open Up" unterschrieben war. Es ist soweit bekannt der erste erfolgreiche Hack eines NSA-Computers. Über die Motive zum Angriff ist bisher nichts bekannt. Die Hacker haben jedenfalls noch nicht auf Versuche zur Kontaktaufnahme geantwortet. Das Beweis-E-Mail, das SecurityFocus erhalten hatte, enthielt zusätzlich noch einige Telefonnummern der NSA sowie eine Anweisung zum Umgang mit E-Mail-Problemen. Das selbe Dokument ist unter anderem auch auf der öffentlichen Seite des US-Verteidigungsministeriums zu finden. (pte-special Irak) (Ende)
Pressetext Link
___________________________________