Ausgabe Februar

Transcription

Ausgabe Februar

scip ag
Contents
1.
Editorial
2.
scip AG Informationen
3.
Neue Sicherheitslücken
4.
Statistiken Verletzbarkeiten
5.
Labs
6.
Bilderrätsel
7.
Impressum
1.
Editorial
Die Mär vom Nur-Pentester
scip monthly Security Summary 19.02.2011
Für viele Leute aus meinem privaten Umfeld
gelte ich als Freak oder Nerd. Verirren sie sich
per Zufall auf meinen Twitter-Stream oder lesen
sie einen technischen Blog-Post von mir, dann
scheine ich auf sie wie ein Savant mit einer
sonderbaren Inselbegabung zu wirken. Ein
Spezialist.
Doch in Fachkreisen werde ich wohl eher als
Generalist wahrgenommen. Ich habe eigentlich
keine echten Fachgebiete. Ich habe zwar schon
so
manches
Betriebssystem
gesehen,
aufgesetzt, betreut und attackiert. Doch würde ich
mich nicht als OS-Admin bezeichnen. Ich habe
zwar schon hunderte Stunden in den
verschiedensten Sprachen wie C/C++/C#,
VB6/VBA/VBS, PHP, Perl, Java und Basic
programmiert. Doch ich würde mich nicht als
Programmierer bezeichnen. Und ich habe schon
tausende von TCP-Segmenten und UDPDatagramme analysiert, komplexe RoutingTabellen
erstellt
und
Firewall-Regelwerke
überprüft. Doch ich würde mich nicht als
Netzwerkspezialisten bezeichnen.
Summa summarum: Für Aussenstehende bin ich
ein Spezialist, für Spezialisten bin ich ein
Generalist. So wirklich heimisch fühle ich mich
bei niemandem. Diese Zwiespältigkeit hat aber
auch ihre Vorteile. Ich lebe dennoch irgendwie in
beiden Welten und kann mit den Gesetzen dieser
umgehen. Auch wenn ich mich manchmal ein
bisschen einsam fühle, wirklich verloren bin ich
nie.
Das generalistische Verständnis für Dinge ist
zudem eine wichtige Voraussetzung, um
überhaupt ein guter Spezialist zu werden.
Schliesslich sollte man zuerst wissen, in welche
Richtung man sich spezalisieren möchte. Und ein
Spezialist, der sich nicht um Schnittstellen zu und
aktuelle Ereignisse in anderen Gebieten
interessiert, der bleibt ein isolierter Fachidiot.
Dies ist auch ein grosses Missverständnis, dem
ich immerwieder begegne: Manche Leute haben
das Gefühl, dass sie vom Stadium des PowerUser zu einem erfolgreichen Pentester werden
können. Sie interessieren sich nicht für
Betriebssysteme, haben keine Ahnung von
Programmierung und wissen nichts über
Netzwerke. Und doch wollen Sie PufferüberlaufAttacken,
SQL-Injection
und
IP-Spoofing
machen.
Das
ist
paradox,
denn
die
letztgenannten Angriffstechniken sind ein Subset
der erstgenannten Fachbereiche.
Meine Empfehlung für Einsteiger im SecurityBereich ist deshalb, dass man sich doch zuerst
mit
allgemeineren
Technologien
auseinandersetzen sollte. Die besten Pentester
der heutigen Zeit sind nicht die Pentester
vergangener Tage, sondern die ehemaligen
Admins
und
Programmierer,
die
sich
weiterentwickelt und spezialisiert haben. Ohne
ihre Vergangenheit hätten sie nicht das werden
können, was sie heute sind. Und man wird es
einem Pentester immer anmerken, wo er seine
Wurzeln hat...
Marc Ruef <maru-at-scip.ch>
Security Consultant
Zürich, 24. Januar 2011
1/22
s c i p
a g
© scip AG
2.
scip AG Informationen
2.1 Reverse Engineering
Das Ziel des Reverse Engineering ist das Erkennen und Verstehen der Funktionsweise eines
geschlossenen und komplexen Produkts zur
Identifikation
potentieller
und
existenter
Schwachstellen in eben diesem.
Der Kunde stellt uns ein Produkt sowie nach
Möglichkeiten jegliche ihm zur Verfügung stehenden Informationen zur Verfügung. Dazu gehören beispielsweise Handbücher, Whitepaper und
Konzepte.

Analyse: Das Produkt wird auf sein übliches
und unübliches Verhalten hin untersucht.

Reversing: Durch erweiterte Mechanismen
(z.B. API Call Interception, Deadlisting) wird
die technische Funktionsweise des Produkts
determiniert.

Auditing: Die ausgemachten Mechanismen
und Prozesse werden bezüglich ihrer Sicherheit untersucht, um Schwächen entdecken
und dokumentieren zu können.
Der Kunde erhält ein Dokument, welches die
Vorgehensweise des Reverse Engineerings aufzeigt. Dabei wird die Grundstruktur des Produkts
dokumentiert. Die etwaigen Mängel werden zusätzlich in tabellarischer Form, jeweils mit spezifischen Bewertungen, bereitgestellt.
Die Funktionsweise proprietärer und komplexer
Produkte bleibt in der Regel den Käufern und
Nutzern verborgen. Manifestierte Risiken können
nicht, nicht effizient oder erst viel zu spät ausgemacht werden. Ein Reversing hat die grösste
Mächtigkeit, da direkt die unmittelbare Funktionsweise eines Produkts untersucht wird. Ein
umfassendes Reversing ist in der Regel mit verhältnismässig viel Aufwand verbunden und daher
nur durch Fachspezialisten durchführbar.
Dank unserer langjährigen Erfahrung und unserem ausgewiesenen Expertenwissen konnten wir
als scip AG bereits eine grosse Anzahl an Kunden beraten und begleiten.
Zählen auch Sie auf uns!
http://www.scip.ch/?firma.referenzenalle
Zögern Sie nicht und kontaktieren Sie unseren
Herrn Chris Widmer unter der Telefonnummer
+41 44 404 13 13 oder senden Sie im eine Mail
an chris.widmer-at-scip.ch.
2/22
s c i p
a g
© scip AG
3.
Neue Sicherheitslücken
Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere
Sicherheitslücken sind unentgeltlich in
unserer
Datenbank
unter
http://www.scip.ch/?vuldb einsehbar.
Das Dienstleistungspaket VulDB Alert
System liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant
sind:
http://www.scip.ch/?vuldb.alertsystem
4284
4283
4282
4281
4280
4279
4276
4275
8
7
4274
6
5
4273
4
3
4272
2
1
0
Dez 10
Jan 11
sehr kritisch
0
1
kritisch
7
3
problematisch
7
1
4271
4270
4268
Inhalt
4262
4299
4298
4297
4296
4295
4294
4293
4292
4291
4289
4288
4287
4286
4285
Adobe Flash Player verschiedene
Schwachstellen
Microsoft Windows JScript / VBScript
Scripting Engine gibt Informationen
preis
Microsoft Windows OpenType Compact
Font Format Driver erweiterte Rechte
Microsoft Windows LSASS
Authentication Request erweiterte
Rechte
Microsoft Windows Kerberos
Authentisierung schwache
Verschlüsselung
Microsoft Windows win32k.sys Driver
erweiterte Rechte
Microsoft Windows Kerberos CRC32Checksumme erweiterte Rechte
Microsoft Windows CSRSS Logoff
erweiterte Rechte
OpenSSL ClientHello Handshake
Pufferüberlauf
Microsoft Office Excel Shape Data
Parsing Pufferüberlauf
IBM Lotus Notes cai URI Handler
erweiterte Rechte
Check Point Endpoint Security
Webverzeichnis gibt Informationen preis
Microsoft Office PowerPoint OfficeArt
Container Parsing Pufferüberlauf
Apache Tomcat JVM getLocale() Denial
4261
4260
4255
4254
4253
4252
4251
4250
4249
4247
4246
4245
4244
of Service
Apache Tomcat HTML Manager
Benutzereingaben Cross Site Scripting
Apache Tomcat ServletContect
Webapplikation erweiterte Rechte
OpenSSH Legacy Certificates
Pufferüberlauf
Google Chrome mehrere
Schwachstellen
Exim open_log() Symlink-Schwachstelle
Microsoft Windows MHTML Cross Site
Scripting
Symantec AntiVirus Alert Originator
iao.exe korrupte Anfrage Pufferüberlauf
Symantec AntiVirus pagehndl.dll
korrupte Anfrage Pufferüberlauf
Symantec AntiVirus IHDNLRSVC.EXE
Symantec AntiVirus Intel AMS2 korrupte
Anfrage Pufferüberlauf
Symantec AntiVirus AMSLIB.dll
AMSSendAlertAct() korrupte Anfrage
Pufferüberlauf
ISC DHCPv6 Nachrichtenverarbeitung
Denial of Service
Novell GroupWise Internet Agent
VCALENDAR Nachricht Pufferüberlauf
HP OpenView Storage Data Protector
unbekannte Denial of Service
syslog-ng Log-Dateien mod_t unsigned
short unsichere Berechtigung
Linux Kernel dvb_ca_ioctl()
Pufferüberlauf
IBM WebSphere Portal unbekannte
Anfrage erweiterte Rechte
HP OpenView Storage Data Protector
Cell Manager Pufferüberlauf
IBM WebSphere MQ Message Header
Pufferüberlauf
Oracle PeopleSoft Enterprise
PeopleTools Portal erweiterte Rechte
PeopleTools Security-Modul Denial of
Service
PeopleTools PIA Core Technology
erweiterte Rechte
Oracle WebLogic Servlet Container
erweiterte Rechte
Oracle WebLogic Server Node Manager
erweiterte Rechte
Oracle Database
mdsys.reset_inprog_index() SQLInjection
Oracle Database Cluster Verify Utility
Named Pipes erweiterte Rechte
Oracle Enterprise Manager Grid Control
JSP Code-Ausführung
Oracle Secure Backup mod_ssl
erweiterte Rechte
3/22
s c i p
a g
© scip AG
3.1 Adobe Flash Player verschiedene
Schwachstellen
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
09.02.2011
http://www.scip.ch/?vuldb.4299
Macromedia Flash (kurz Flash) ist eine
proprietäre integrierte Entwicklungsumgebung
zur Erzeugung von Flash-Filmen im SWFFormat, einem auf Vektorgrafiken basierenden
Grafikund
Animationsformat
der
amerikanischen
Firma
Adobe
(vormals
Macromedia).
Gleich
neun
kritische
Schwachstellen wurden in der Version 10
entdeckt. Durch diese können bei der Anzeige
von korrupten Dateien erweiterte Rechte erlangt
werden. Grundlegende technische Details sind zu
den Fehlern bekannt. Diese wurden allesamt in
der Version 10.1.102.64 behoben.
Expertenmeinung:
Auch diese Verwundbarkeit zeigt, dass harmlose
Client-Applikationen für Attacken missbraucht
werden können. Das Einspielen der Patches bzw.
das Updaten auf die aktuellste Software-Version
ist entsprechend empfohlen.
3.2 Microsoft Windows JScript /
VBScript Scripting Engine gibt
Informationen preis
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
08.02.2011
Microsoft Windows ist eine sehr beliebte
Betriebssystemreihe der redmonder Firma
Microsoft. Ein nicht näher beschriebener Fehler
betrifft Microsoft Windows 7 und Server 2008 in
Bezug auf JScript- und VBScript-Skripte. Diese
können unter gewissen Umständen erweiterte
Informationen auslesen, was zum Beispiel durch
den Besuch einer Webseite ausgelöst werden
kann. Technische Details oder ein Exploit zur
Schwachstelle sind nicht bekannt. Der Fehler
wurde durch einen Patch behoben.
Expertenmeinung:
Diese
Schwachstelle
ist
sehr
schwer
einzuschätzen, weil nun wirklich praktisch keine
Details bekannt sind. Es ist noch nicht mal
publiziert worden, um was für einen Fehler es
sich handelt. Dies könnte darauf schliessen
lassen, dass das Problem sehr schwerwiegend
ist und Microsoft daher das Risiko eines
erfolgreichen Exploits und Angriffs so gering wie
möglich halten möchte. Entsprechend sollte man
sich bemühen die Patches schnellstmöglich
einzuspielen.
3.3 Microsoft Windows OpenType
Compact Font Format Driver
erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
kritisch
Indirekt
08.02.2011
Microsoft. Das grafische Betriebssystem stellt
eine Weiterentwicklung des zeilenbasierten MS
DOS dar. Es wurde ein Designfehler im Treiber
für das OpenType Compact Font Format
gefunden. Beimn Parsing korrupter Parameter ist
es möglich, erweiterte Rechte zu erlangen.
Technische Details oder ein Exploit zur
Expertenmeinung:
Diese Sicherheitslücke ist sehr kritisch, wobei
man jedoch von Glück sprechen kann, dass das
Problem nur lokal ausnutzbar ist. Trotzdem sollte
man sich schnellstmöglich bemühen, das eigene
System - vor allem auf Multiuser-Systemen entsprechend abzusichern.
3.4 Microsoft Windows LSASS
Authentication Request erweiterte
Rechte
Risiko:
Remote:
Datum:
VulDB:
kritisch
Indirekt
08.02.2011
Die beiden Betriebssysteme Microsoft Windows
XP und Server 2003 sind eine Weiterentwicklung
des professionellen Microsoft Windows NT/2000
Systems. Es wurde ein Designfehler in LSASS
gefunden. Durch eine korrupte Anfrage ist es
möglich, erweiterte Rechte zu erlangen.
Expertenmeinung:
3.5 Microsoft Windows Kerberos
4/22
s c i p
a g
© scip AG
Authentisierung schwache
Verschlüsselung
CRC32-Checksumme erweiterte
Rechte
Risiko:
Remote:
Datum:
VulDB:
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
08.02.2011
Microsoft. Ein Designfehler in Kerberos kann
dazu führen, dass instelle einer starken
Verschlüsselung stets DES eingesetzt wird.
Dadurch können kryptografische Attacken
vorangetrieben werden. Technische Details oder
ein Exploit zur Schwachstelle sind nicht bekannt.
Der Fehler wurde durch einen Patch behoben.
Expertenmeinung:
Die hohe Verbreitung von Kerberos sowie die
Möglichkeiten eines Angriffs machen diese
Schwachstelle für eine Vielzahl an Angreifern
sehr interessant. Jedoch ist das Risiko
eingedämmt, da die Sicherheitslücke nur unter
gewissen
Umständen
ausnutzbar
ist.
Administratoren werden angehalten so schnell
wie möglich ihre Systeme zu überprüfen und im
Notfall
unverzüglich
Gegenmassnahmen
einzuleiten. Es ist damit zu rechnen, dass in den
kommenden Wochen ein Exploit erscheinen wird.
3.6 Microsoft Windows win32k.sys
Driver erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
kritisch
Indirekt
08.02.2011
DOS dar. Gleich fünf Schwachstellen wurde im
Win32k
Kernel-Mode
Driver
win32k.sys
gefunden. Alle sind auf eine fehlerhafte
Eingabevalidierung zurückzuführen, durch die
ihrerseits erweiterte Rechte erlangt werden
können. Technische Details oder ein Exploit zur
Expertenmeinung:
System entsprechend abzusichern.
3.7 Microsoft Windows Kerberos
kritisch
Ja
08.02.2011
Systems. Es wurde ein Designfehler in der
Kerberos-Implementierung gefunden. Diese greift
auf CRC32 zur Generierung von Checksummen
zurück, was als nicht besonders stark gilt. Aus
diesem Grund wird es möglich, Tickets selber
vorzutäuschen. Technische Details oder ein
Exploit zur Schwachstelle sind nicht bekannt. Der
Fehler wurde durch einen Patch behoben.
Expertenmeinung:
Die hohe Verbreitung von Kerberos sowie die
Möglichkeiten eines Angriffs machen diese
Schwachstelle für eine Vielzahl an Angreifern
sehr interessant. Jedoch ist das Risiko
eingedämmt, da die Sicherheitslücke nur unter
gewissen
Umständen
ausnutzbar
ist.
Administratoren werden angehalten so schnell
wie möglich ihre Systeme zu überprüfen und im
Notfall
unverzüglich
Gegenmassnahmen
einzuleiten. Es ist damit zu rechnen, dass in den
kommenden Wochen ein Exploit erscheinen wird.
3.8 Microsoft Windows CSRSS Logoff
erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
kritisch
Indirekt
08.02.2011
Systems. Es wurde nun ein Designfehler
bekannt, der auf das Client/Server Run-time
Subsystem (CSRSS) zurückzuführen ist. Dieses
beenden Benutzerprozesse bei einem Logout
nicht korrekt, wodurch diese im Hintergrund
weiterlaufen können. Dies führt dazu, dass die
Prozesse erweiterte Rechte in Bezug des Zugriffs
nachfolgender Benutzer erlangen können.
Expertenmeinung:
5/22
s c i p
a g
© scip AG
3.9 OpenSSL ClientHello Handshake
Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
08.02.2011
OpenSSL
stellt
eine
open-source
Implementierung des SSL-Protokolls dar. Im
Rahmen des ClientHello Handshakes kann ein
illegaler Speicherzugriff umgesetzt werden. Dies
kann einerseits für eine Denial of ServiceAttacke, aber andererseits auch für erweiterte
Speicherzugriffe
gebraucht
werden.
Voraussetzung für diese Schwachstelle ist, dass
die Funktion SSL_CTX_set_tlsext_status_cb()
aktiviert ist. Technische Details oder ein Exploit
zur Schwachstelle sind nicht bekannt. Der Fehler
wurde durch einen Patch und in den Versionen
0.9.8r sowie 1.0.0d behoben.
Expertenmeinung:
SSL ist oft exponiert und kann nicht oder nur
mangelhaft geschützt werden. Deshalb sind
Schwachstellen in dieser Richtung durch
Angreifer
immer
sehr
willkommen.
In
Umgebungen, in denen die verwundbaren
OpenSSL-Versionen eingesetzt werden, sollten
so schnell wie möglich Updates gefahren werden.
3.10 Microsoft Office Excel Shape Data
Parsing Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
08.02.2011
Microsoft Excel ist eine sehr gern eingesetzte
Tabellenkalkulation, die eine Vielzahl an
Funktionalitäten zur Verfügung stellt. Durch eine
fehlerhafte Bearbeitung von Formen kann es zu
einem Pufferüberlauf kommen, durch den sich
beliebiger Programmcode ausführen lässt. Ein
Exploit zur Schwachstelle ist nicht bekann. Es
wird empfohlen, keine Dateien unbekannter
Herkunft zu öffnen.
Expertenmeinung:
Dieser Angriff wird beim Erscheinen eines
Exploits noch mehr Aufmerksamkeit erreichen.
Umso
wichtiger
ist
es,
dass
man
schnellstmöglich Gegenmassnahmen anstrebt,
damit das Zeitfenster eines erfolgreichen Angriffs
(vielleicht sind im Untergrund doch schon
Exploits bekannt) möglichst gering gehalten
werden kann.
3.11 IBM Lotus Notes cai URI Handler
erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
08.02.2011
Lotus Notes ist ein System für das Management
und die Verarbeitung auch wenig strukturierter
Informationen in elektronischer Form für einen
heterogenen Anwenderkreis. Dabei ist diese
Definition eng an den Begriff
“Groupware”
geknüpft, Lotus Notes galt (und gilt noch) lange
Zeit als die Standard-Groupware-Plattform. Es
wurde eine Schwachstelle im Umgang mit dem
cai URI Handler gefunden. Durch das injizieren
von Argumenten für --launcher.library ist es
möglich, über das Netzwerk DLLs nachzuladen
und damit eigenen Code auszuführen. Ein Exploit
zur
Schwachstelle
oder
weiterführende
technische Details sind nicht bekannt. Der Fehler
wurde in den Versionen 8.0.2 FP6, 8.5.1 FP5 und
8.5.2 behoben.
Expertenmeinung:
Dies ist eine wirklich ungünstige Schwachstelle,
die die Entwickler bei IBM in einem schlechten
Licht dastehen lässt. Professionelle Entwickler
von Server- und Sicherheits-Anwendungen
sollten derlei Injection-Schwachstellen erkennen
und verhindern können.
3.12 Check Point Endpoint Security
Webverzeichnis gibt Informationen
preis
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
08.02.2011
Check Point Endpoint Security ist der erste
zentrale Agent für umfassende EndpointSicherheit, der Firewall-Technologie, Network
Access Control (NAC), Programmkontrolle,
Virenschutz, Spyware-Schutz, Datensicherheit
sowie Remote-Zugriff in einer Lösung vereint. HD
Moore von Rapid7 hat eine Schwachstelle im
Webdienst ausfindig gemacht. Und zwar werden
die Zugriffsrechte auf die Verzeichnisse /conf und
/bin nicht richtig umgesetzt, wodurch erweiterte
Lesezugriffe umsetzbar sind. Dadurch kann in
den Besitz sensitiver Informationen (z.B. SSLZertifikate) gekommen werden. Es wurden
Hotfixes zur Behebung der Schwachstelle
herausgegeben.
6/22
s c i p
a g
© scip AG
Expertenmeinung:
Dies ist eine wirklich ungünstige Schwachstelle,
die die Entwickler bei Check Point in einem
schlechten Licht dastehen lässt. Professionelle
Entwickler von Server- und SicherheitsAnwendungen sollten Directory TraversalSchwachstellen
erkennen
und verhindern
können.
3.13 Microsoft Office PowerPoint
OfficeArt Container Parsing
Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
08.02.2011
Microsoft Office ist eine sehr populäre
kommerzielle Office-Suite der bekannten Firma
aus Redmond. Teil dieses Pakets sind
beispielsweise die Textverarbeitung Word, die
Tabellenkalkulation Excel und die Datenbank
Access. PowerPoint ist jene Lösung, die das
Umsetzen einfacher Präsentationen erlaubt. Eine
Pufferüberlauf-Schwachstelle wurde in OfficeArt
Container gefunden. Durch das Anhängen
uninitialisierter Objekte und das darauf folgende
Dereferenzieren kann beliebiger Programmcode
ausgeführt werden. Ein Exploit zur Schwachstelle
ist nicht bekann. Es wird empfohlen, keine
Dateien unbekannter Herkunft zu öffnen.
Expertenmeinung:
Dieser Angriff wird beim Erscheinen eines
Exploits noch mehr Aufmerksamkeit erreichen.
Umso
wichtiger
ist
es,
dass
man
schnellstmöglich Gegenmassnahmen anstrebt,
damit das Zeitfenster eines erfolgreichen Angriffs
(vielleicht sind im Untergrund doch schon
Exploits bekannt) möglichst gering gehalten
werden kann.
3.14 Apache Tomcat JVM getLocale()
Denial of Service
Risiko:
Remote:
Datum:
VulDB:
problematisch
Ja
07.02.2011
Apache Tomcat stellt eine Umgebung zur
Ausführung von Java-Code auf Webservern
bereit, die im Rahmen des Jakarta-Projekts der
Apache Software Foundation entwickelt wird.
Konstantin Preiber hat eine Schwachstelle in der
JVM
gefunden,
die
beim
Aufruf
von
javax.servlet.ServletRequest.getLocale()
und
javax.servlet.ServletRequest.getLocales()
gegeben ist. Durch das Einstreuen manipulativer
Header (z.B. Accept-Language) kann eine Denial
of Service-Attacke durchgesetzt werden. Dieser
Fehler betrifft die Tomcat-Versionen 5.5.0 bis
5.5.31. Ein Upgrade auf die Version 5.5.33 löst
dieses und zwei andere Probleme.
Expertenmeinung:
Ein relativ primitiver Fehler führt hier zu einem
Denial of Service Fehler, der durch die
Verfügbarkeit eines Exploits auch relativ einfach
auszunutzen wäre. Entsprechend rasch sollte die
Adressierung
des
Problems
durch
den
entsprechenden Patch angegangen werden, um
das Risiko einer Ausnutzung zu reduzieren.
3.15 Apache Tomcat HTML Manager
Benutzereingaben Cross Site
Scripting
Risiko:
Remote:
Datum:
VulDB:
problematisch
Ja
07.02.2011
Apache Software Foundation entwickelt wird. Der
HTML
Manager
weist
einige
Eingabeungültigkeiten auf, wodurch sich Cross
Site Scripting-Attacken durchsetzen lassen.
Dieser Fehler betrifft die Tomcat-Versionen 5.5.0
bis 5.5.31. Ein Upgrade auf die Version 5.5.33
löst dieses und zwei andere Probleme.
Expertenmeinung:
Cross Site Scripting Angriffe wie dieser werden
gerne unterschätzt. Richtig angewendet können
sie jedoch beachtlichen Schaden für die
Betroffenen darstellen.
3.16 Apache Tomcat ServletContect
Webapplikation erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
problematisch
Indirekt
07.02.2011
Apache Software Foundation entwickelt wird.
Durch einen Fehler im Attribut ServletContect
kann es vorkommen, dass eine Webapplikation
trotz der vorgesehen Read-Only Rechte
erweiterte Zugriffe durchführen kann. Dadurch
können zusätzliche Dateizugriffe umgesetzt
werden. Dieser Fehler betrifft die Tomcat7/22
s c i p
a g
© scip AG
Versionen 5.5.0 bis 5.5.29. Ein Upgrade auf die
Version 5.5.33 löst dieses und zwei andere
Probleme.
Expertenmeinung:
Diese Schwachstelle setzt einen lokalen Zugriff
voraus, so dass das Risiko einer erfolgreichen
Attacke relativ gering ist, denn nur wenige setzen
für mehrere unbeglaubigte Benutzer ein.
Trotzdem sollte man sich des Problems bewusst
sein und entsprechende Gegenmassnahmen
umsetzen.
3.17 OpenSSH Legacy Certificates
Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
problematisch
Indirekt
07.02.2011
OpenSSH stellt eine freie Implementierung des
Secure Shell (SSH) Protokolls zur Verfügung.
Mateusz Kocielski hat einen Speicherfehler in
den Versionen 5.6 and 5.7 gefunden. Wird mit
dem Schalter -t ein Legacy Certificate mit dem
Tool ssh-keygen generiert, kann es zu einer
Korruption des Stacks kommen. Der Fehler
wurde mit einem Patch bzw. in der Version 5.8
behoben.
Expertenmeinung:
Glücklicherweise lässt sich diese Schwachstelle
nur lokal ausnutzen, weshalb sie nicht als akut
angesehen werden muss.
3.18 Google Chrome mehrere
Schwachstellen
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
04.02.2011
Google Chrome ist ein Webbrowser, der von
Google Inc. entwickelt wird und seit Dezember
2008 verfügbar ist. Gleich sechs unterschiedliche
Schwachstellen
wurden
gefunden.
Diese
betreffen allesamt verschiedene Komponenten,
können aber ihrerseits zu erweiterten Rechten
führen. Grundlegende technische Informationen
zu den Schwachstellen sind teilweise vorhanden.
Google hat das Problem mit der Version
9.0.597.84 behoben.
Expertenmeinung:
Die diversen Schwachstellen in Chrome, die
Google
im
vorliegenden
Sammeladvisory
beschreibt, sollten ernst genommen und als
kritisch betrachtet werden. Anwender, die
Chrome einsetzen, sollten zeitnah ein Update auf
eine aktuelle Version anstreben.
3.19 Exim open_log() SymlinkSchwachstelle
Risiko:
Remote:
Datum:
VulDB:
problematisch
Indirekt
31.01.2011
Exim ist ein Mail Transfar Agent (MTA), der an
der University of Cambridge entwickelt wird und
mit sehr vielen Linux-Distributionen (vor allem
Debian) ausgeliefert wird. In log.c wird die
Funktion open_log() genutzt, um auf Log-Dateien
zuzugreifen. Dabei wird die Berechtigung über
setuid() and setgid() nicht richtig geprüft, wodurch
eine Symlink-Attacke und mit ihr erweiterte
Zugriffsrechte durchgesetzt werden können. Der
Fehler wurde in der Version 4.74 behoben.
Expertenmeinung:
Glücklicherweise lässt sich diese Schwachstelle
nur lokal ausnutzen, weshalb sie nicht als akut
angesehen werden muss. Wer seinen Benutzern
den lokalen Zugriff auf ein verwundbares System
zulässt, der sollte den den Patch anwenden, um
Übergriffe zu verhindern.
3.20 Microsoft Windows MHTML Cross
Site Scripting
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
29.01.2011
DOS dar. d4rkwind hat einen Fehler in der
Verarbeitung von MHTML-Dateien (MIME
Encapsulation of Aggregate HTML) gefunden.
Der Protocol Handler kann dazu bewegt werden,
Cross Site Scripting-Attacken durchzuführen,
was zum Beispiel innerhalb des Internet
Explorers erzwungen werden kann. Microsoft
empfiehlt die Deaktivierung des MHTML Protocol
Handlers,
was
automatisiert
mit
dem
bereitgestellten Fix It möglich ist.
Expertenmeinung:
Diese Schwachstelle ist interessant und zeigt,
dass auch normale Client-Software für indirekte
Angriffe
genutzt
werden
kann.
In
sicherheitsrelevanten Umgebungen sollte man so
oder so auf unnötige Komponenten verzichten.
8/22
s c i p
a g
© scip AG
3.21 Symantec AntiVirus Alert Originator
iao.exe korrupte Anfrage
Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
27.01.2011
Symantec ist ein populärer Hersteller von
Sicherheitslösungen, der sich vor allem durch
seine Antiviren-Produkte einen Namen gemacht
hat. Gleich sechs Schwachstellen betreffen die
Lösungen Symantec AntiVirus Corporate Edition
10.x und Symantec System Center 10.x. Eine
davon findet sich im Alert Originator, der durch
iao.exe bereitgestellt wird. Durch ein korruptes
Paket an Port tcp/38292 kann ein Pufferüberlauf
provoziert werden. Das Problem wurde durch
Symantec mit der Software-Version 10.1 MR10
behoben.
Expertenmeinung:
In den Meldungen ist stets die Rede von Denial
of Service als Resultat. Es muss jedoch davon
ausgegangen werden, dass sich damit ebenfalls
beliebiger Programmcode mit den Rechten der
betroffenen Software ausführen lässt.
3.22 Symantec AntiVirus pagehndl.dll
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
27.01.2011
davon findet sich in der Bibliothek pagehndl.dll.
Durch ein korruptes Paket an Port tcp/38292
kann ein Pufferüberlauf provoziert werden. Das
Problem wurde durch Symantec mit der
Software-Version 10.1 MR10 behoben.
Expertenmeinung:
3.23 Symantec AntiVirus
IHDNLRSVC.EXE korrupte Anfrage
Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
27.01.2011
davon findet sich in HDNLRSVC.EXE. Durch eine
korrupte Anfrage an Port tcp/38292 kann ein
Pufferüberlauf provoziert werden. Das Problem
wurde durch Symantec mit der Software-Version
10.1 MR10 behoben.
Expertenmeinung:
3.24 Symantec AntiVirus Intel AMS2
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
27.01.2011
davon findet sich in der Intel AMS2 Komponente.
Durch eine korrupte Anfrage an Port tcp/38292
Expertenmeinung:
3.25 Symantec AntiVirus AMSLIB.dll
AMSSendAlertAct() korrupte
Anfrage Pufferüberlauf
Risiko:
kritisch
9/22
s c i p
a g
© scip AG
Remote: Ja
Datum: 27.01.2011
VulDB: http://www.scip.ch/?vuldb.4272
davon
findet
sich
in
der
Funktion
AMSSendAlertAct() in der Bibliothek AMSLIB.dll.
Durch ein korruptes Paket an Port tcp/38292
Expertenmeinung:
3.26 ISC DHCPv6
Nachrichtenverarbeitung Denial of
Service
Risiko:
Remote:
Datum:
VulDB:
problematisch
Ja
27.01.2011
DHCP (Dynamic Host Configuration Protocol) ist
ein altbekanntes Protokoll zur dynamischen
Verteilung von Netzwerkinformationen (z.B. IPAdressen, Subnetzmasken, Default Gateways
und Nameserver) an Hosts. Eine sehr bekannte
und freie Implementierung dieses Dienstes wird
von ISC, welche auch die NameserverImplementierung BIND entwickeln, zur Verfügung
gestellt. Wie gemeldet wurde, existiert eine
Denial of Service-Schwachstelle in der IPv4Implementierung von DHCP. Weiterführende
technische Details oder ein Exploit sind nicht
bekannt. Diese Schwachstelle wurde in den
Versionen 4.1.2-P1, 4.1-ESV-R1, or 4.2.1b1
behoben.
Expertenmeinung:
DHCP ist einer der Grundpfeiler moderner Netze.
Gerade deshalb stellen Schwachstellen in den
jeweiligen Implementierungen ein weitreichendes
Risiko dar. In den meisten Fällen werden DHCPKommunikationen jedoch nur in lokalen Netzen
bereitgestellt und erlaubt. Aber vor allem ISPs
müssen mit einer Vielzahl potentieller Angreifer
rechnen. Wer eine verwundbare DHCP-Version
einsetzt, sollte deshalb umgehend diese
aktualisieren oder anderweitig absichern.
3.27 Novell GroupWise Internet Agent
VCALENDAR Nachricht
Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
26.01.2011
Novell GroupWise WebAccess ist eine
kommerzielle Lösung zur Anbindung von
Groupware-Lösungen über das World Wide Web
(WWW). Benutzer sehen sich in der Lage,
bequem über ein Web-Interface auf ihre
Groupware-Lösung zuzugreifen, Emails zu
Schreiben und Kalender-Einträge einzusehen.
Eine Schwachstelle betrifft den Internet Agent
und dessen Umgang mit VCALENDARNachrichten. Dies kann zu einem Pufferüberlauf
führen, wodurch sich beliebiger Programmcode
ausfühen lässt. Technische Details oder ein
Exploit zur Schwachstelle sind nicht bekannt. Der
Fehler wurde in 8.02 Hot Patch 2 behoben.
Expertenmeinung:
Abstürzende Applikationen können ein grosses
Ärgernis sein, wie wir alle wissen. Es durchaus
möglich, dass jemand diesen Pufferüberlauf und
die daraus resultierende Denial of ServiceAttacke für einen Jux im Büro missbraucht. Noch
schlimmer ist jedoch die Möglichkeit, dank dieser
Sicherheitslücke
beliebigen
Programmcode
auszuführen.
3.28 HP OpenView Storage Data
Protector unbekannte Denial of
Service
Risiko:
Remote:
Datum:
VulDB:
problematisch
Unbekannt
26.01.2011
HP OpenView ist ein vor allem im professionellen
Umfeld gern genutztes Produkt zur Überwachung
von Systemen über das Netzwerk. Durch einen
nicht näher spezifizierten Fehler kann eine Denial
of Service durchgesetzt werden. Davon betroffen
sind alle Versionen von HP Data Protector 6.x für
Windows. Es sind keine weiteren technischen
Details oder ein Exploit bekannt. Der Fehler
Expertenmeinung:
Es ist ein bisschen sonderbar, dass nahezu gar
keine Details zu dieser Schwachstelle publiziert
wurden. Weder von HP selbst, noch von einer
anderen Stelle. Aus diesem Grund muss darauf
geschlossen werden, dass der Fehler doch
weitläufiger ist, weder man auf den ersten Blick
10/22
s c i p
a g
© scip AG
vermuten könnte.
3.29 syslog-ng Log-Dateien mod_t
unsigned short unsichere
Berechtigung
Risiko:
Remote:
Datum:
VulDB:
problematisch
Indirekt
25.01.2011
Syslog-ng
ist
eine
gebräuchliche
freie
Implementierung eines Syslog-Server auf der
Linux- und Unix-Plattform. Das Programm
implementiert das syslog-Protokoll und bietet
einige
Erweiterungen,
die
bekannte
Schwachstellen des syslog-Protokolles beheben
sollen. In den bisherigen Versionen werden die
Dateirechte für neue Log-Dateien versehentlich
mit "chmod 7777" gesetzt, wodurch sie für
jederman les- und schreibbar sind. Dadurch kann
eine Manipulation der Daten stattfinden.
Voraussetzung hierfür ist, dass die Software auf
einem System installiert wird, bei dem mod_t als
unsigned short gesetzt wird. Dies ist zum Beispiel
bei FreeBSD der Fall. Das Problem wurde durch
eine aktualisierte Software-Version behoben.
Expertenmeinung:
Diese Schwachstelle setzt einen lokalen Zugriff
voraus, so dass das Risiko einer erfolgreichen
Attacke relativ gering ist. Trotzdem sollte man
sich des Problems bewusst sein und
entsprechende Gegenmassnahmen umsetzen.
3.30 Linux Kernel dvb_ca_ioctl()
Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
problematisch
Indirekt
25.01.2011
Linux
ist
ein
freies,
UNIX-ähnliches
Betriebssystem, das der General Public License
(GPL) unterliegt. In der Funktion dvb_ca_ioctl()
von drivers/media/dvb/ttpci/av7110_ca.c existiert
ein nicht näher beschriebener Speicherfehler, der
zu einer Denial of Service oder einer
Rechteausweitung
führen
kann.
Die
Schwachstelle ist nur lokal (Senden von IOCTL)
ausnutzbar. Weiterführende technische Details
oder ein Exploit sind nicht bekannt. Der Fehler
Expertenmeinung:
Ein kleiner Fehler, der in den meisten Fällen nicht
wirklich problematisch sein wird. Dies liegt daran,
dass der Angreifer lokalen Zugriff auf das System
haben muss.
3.31 IBM WebSphere Portal unbekannte
Anfrage erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
problematisch
Ja
25.01.2011
Die kommerzielle WebSphere Software von IBM
ist eine universell einsatzfähige und schnelle
Plattform für e-business on demand. IBM hat in
einem Advisory (PM22167, PM26397, PM25191)
Fehler in Lotus Web Content Management bis
7.x und WebSphere Portal bis 7.x publik
gemacht. Durch eine nicht näher beschriebene
Anfrage können erweiterte Rechte erlangt
werden. Das Problem wurde mit Patches
behoben.
Expertenmeinung:
Da nahezu keine Details zur Schwachstelle
bekannt sind, ist die Einschätzung sehr schwierig
und zum jetzigen Zeitpunkt nicht möglich. Sollten
Ihre Systeme verwundbar sein, sollten Sie
dennoch schnellstmöglich auf eine aktuelle
Software-Version updaten.
3.32 HP OpenView Storage Data
Protector Cell Manager
Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
20.01.2011
HP OpenView ist ein vor allem im professionellen
Umfeld gern genutztes Produkt zur Überwachung
von Systemen über das Netzwerk. Korrupte
Pakete können einen Pufferüberlauf in crs.exe
zur Folge haben. Der dabei genutzte Port wird
jedoch
dynamisch
gewählt
und
muss
entsprechend im Rahmen der Attacke frühzeitig
identifiziert werden. Weiterführende technische
Details oder ein Exploit zur Attacke sind nicht
bekannt. Der Fehler wurde mit einem Patch
behoben.
Expertenmeinung:
Wahrhaftig ist dies eine sehr ernst zu nehmende
Sicherheitslücke. Werden Details zu dieser
Attacke bekannt, ist es nur eine Frage der Zeit,
bis entsprechende Angriffs-Tools und Exploits
erhältlich sein werden. Dies heisst jedoch nicht,
dass man das Einspielen der entsprechenden
Bugfixes aufschieben sollte. Die von HP zur
Verfügung
gestellten
Patches
sollten
unverzüglich eingespielt werden, um das Risiko
eines erfolgreichen Angriffs zu minimieren.
11/22
s c i p
a g
© scip AG
3.33 IBM WebSphere MQ Message
Header Pufferüberlauf
Risiko:
Remote:
Datum:
VulDB:
kritisch
Ja
20.01.2011
Die kommerzielle WebSphere Software von IBM
ist eine universell einsatzfähige und schnelle
Plattform für e-business on demand. IBM
meldete einen Pufferüberlauf bezüglich MQ
Message Header. Ein Exploit zur Schwachstelle
ist bisher nicht bekannt. IBM hat den Patch APAR
IZ77607 herausgegeben und wird das Problem in
der Version 7.0.1.4 beheben.
Expertenmeinung:
Sollten Ihre Systeme verwundbar sein, sollten Sie
schnellstmöglich
die
Patches
einspielen.
Spätestens mit dem Erscheinen eines Exploits
könnten Angriffe erfolgen.
3.34 Oracle PeopleSoft Enterprise
PeopleTools Portal erweiterte
Rechte
Risiko:
Remote:
Datum:
VulDB:
problematisch
Ja
19.01.2011
PeopleSoft ermöglicht eine effiziente Verwaltung
von Ressourcen im Geschäftsleben: Human
Resources,
Geschäftsbeziehungen
und
Finanzen. In ihren Advisory weist Oracle gleich
auf vier unterschiedliche Schwachstellen in den
Versionen 8.49, 8.50 und 8.51 hin. Eine davon
betrifft die Portal-Komponente in PeopleTools.
Durch einen nicht näher beschriebenen Fehler
können erweiterte Rechte erlangt werden. Das
Problem wurde durch einen Patch behoben.
Expertenmeinung:
bekannt sind, ist die Einschätzung zum jetzigen
Zeitpunkt nicht möglich.
PeopleTools Security-Modul Denial
of Service
Risiko:
Remote:
Datum:
VulDB:
problematisch
Unbekannt
19.01.2011
Resources,
und
betrifft die Komponente Security in PeopleTools.
Durch einen nicht näher beschriebenen Fehler
kann eine Denial of Service durchgesetzt werden.
Das Problem wurde durch einen Patch behoben.
Expertenmeinung:
PeopleTools PIA Core Technology
erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
problematisch
Unbekannt
19.01.2011
Resources,
und
betrifft die Komponente PIA Core Technology in
PeopleTools.
Durch
einen
nicht
näher
beschriebenen Fehler können erweiterte Rechte
erlangt werden. Das Problem wurde durch einen
Patch behoben.
Expertenmeinung:
3.37 Oracle WebLogic Servlet Container
erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
problematisch
Unbekannt
19.01.2011
WebLogic Server erhöhen die Produktivität und
senken die Kosten der IT-Abteilungen, indem er
eine einheitliche, vereinfachte und erweiterbare
Architektur bietet. Ein unbekannter Fehler in
Servlet Container kann zu erweiterten Rechten
führen.
Es
sind
keine
weiterführenden
technischen Details zum Problem bekannt.
Dieses betrifft alle WebLogic Versionen bis
10.3.3. Es wurde durch einen Patch, der durch
Oracle herausgegeben wurde, behoben.
Expertenmeinung:
12/22
s c i p
a g
© scip AG
3.38 Oracle WebLogic Server Node
Manager erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
problematisch
Unbekannt
19.01.2011
WebLogic Server erhöhen die Produktivität und
senken die Kosten der IT-Abteilungen, indem er
eine einheitliche, vereinfachte und erweiterbare
Architektur bietet. Ein unbekannter Fehler in
Node Manager kann zu erweiterten Rechten
führen.
Es
sind
keine
weiterführenden
technischen Details zum Problem bekannt.
Dieses betrifft alle WebLogic Versionen bis
10.3.3. Es wurde durch einen Patch, der durch
Oracle herausgegeben wurde, behoben.
Expertenmeinung:
3.39 Oracle Database
mdsys.reset_inprog_index() SQLInjection
Risiko:
Remote:
Datum:
VulDB:
problematisch
Ja
19.01.2011
Oracle ist eine vor allem im professionellen
Umfeld gern eingesetzte Datenbank-Lösung. Es
wurden verschiedene Schwachstellen in den
Versionen 10.x und 11.x gemeldet. Eine davon
betrifft die Prozedur mdsys.reset_inprog_index() ,
welche
keine
vollumfängliche
Eingabeüberprüfung durchführt. Dadurch kann
eine
SQL-Injection
durchgesetzt
werden.
Weitere technische Details zur Schwachstelle
sind nicht bekannt. Der Fehler wurde durch einen
Patch behoben.
Expertenmeinung:
Obschon Angriffe auf Oracle-Systeme für eine
Vielzahl an Angreifern interessant sein können,
wird diese Schwachstelle keine sonderlich grosse
Beachtung finden. Vor allem in professionellen
und sicherheitsrelevanten Umgebunden sollte
trotzdem
das
Umsetzen
möglicher
Gegenmassnahmen
nicht
hinausgezögert
werden.
3.40 Oracle Database Cluster Verify
Utility Named Pipes erweiterte
Rechte
Risiko:
Remote:
Datum:
VulDB:
problematisch
Ja
19.01.2011
Oracle ist eine vor allem im professionellen
Umfeld gern eingesetzte Datenbank-Lösung. Es
wurden verschiedene Schwachstellen in den
Versionen 10.x und 11.x gemeldet. Eine davon
betrifft ausschliessilch Windows-Plattformen.
Durch das Cluster Verify Utility kann mittels
manipulierten
Named
Pipes
beliebiger
Programmcode ausgeführt werden. Weitere
technische Details zur Schwachstelle sind nicht
bekannt. Der Fehler wurde durch einen Patch
behoben.
Expertenmeinung:
Beachtung finden. Vor allem in professionellen
und sicherheitsrelevanten Umgebunden sollte
trotzdem
das
Umsetzen
möglicher
Gegenmassnahmen
nicht
hinausgezögert
werden.
3.41 Oracle Enterprise Manager Grid
Control JSP Code-Ausführung
Risiko:
Remote:
Datum:
VulDB:
problematisch
Ja
19.01.2011
Oracle Enterprise Manager ist eine grafische
Bedienoberfläche zur Datenbankverwaltung auf
Java-Basis. Das JSP-Script "Client System
Analyzer" weist eine Eingabeungültigkeit auf,
wenn mittels POST eine XML-Datei hochgeladen
wird. Die Schwachstelle lässt sich durch das
Einschleusen eines Null-Bytes ausnutzen.
Dadurch kann beliebiger Code ausgeführt
werden. Oracle hat das Problem mit einem Patch
behoben.
Expertenmeinung:
Beachtung finden. Dies liegt primär in der
Voraussetzung eines "lokalen" Zugriffs, den die
wenigsten für einen Angriff in Frage kommenden
Benutzer ihr Eigen nennen können. Vor allem in
professionellen
und
sicherheitsrelevanten
Umgebunden sollte trotzdem das Umsetzen
möglicher
Gegenmassnahmen
nicht
hinausgezögert werden.
13/22
s c i p
a g
© scip AG
3.42 Oracle Secure Backup mod_ssl
erweiterte Rechte
Risiko:
Remote:
Datum:
VulDB:
problematisch
Unbekannt
19.01.2011
Oracle Secure Backup ist eine neue
Managementsoftware
von
Oracle
für
Bandsicherungen. Sie ermöglicht sichere,
hochperformante Bandsicherungen von Oracle
Datenbanken
und
Dateisystemen
über
Netzwerke. Eine nicht näher beschriebene
Schwachstelle in mod_ssl kann dazu führen,
dass beliebige Kommandos ausgeführt werden
können. Das Problem wurde durch einen Patch
behoben.
Expertenmeinung:
14/22
s c i p
a g
© scip AG
4.
Statistiken Verletzbarkeiten
900
Die im Anschluss aufgeführten Statistiken basieren auf den Daten der
deutschsprachige
Verletzbarkeitsdatenbank der scip AG.
800
700
600
http://www.scip.ch/?vuldb
500
Zögern Sie nicht uns zu kontaktieren. Falls Sie
spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns
eine E-Mail an info-at-scip.ch. Gerne nehmen wir
Ihre Vorschläge entgegen.
400
300
200
Auswertungsdatum:
19. Februar 2011
100
0
2003 2004 2005 2006 2007 2008 2009 2010 2011
sehr kritisch
56
15
15
6
11
11
21
10
1
kritisch
214
314
402
442
229
140
72
67
39
problematisch
170
287
423
396
419
176
70
81
26
Verlauf der Anzahl Schwachstellen pro Jahr
20
50
18
45
16
40
14
35
12
30
10
25
8
20
6
15
4
10
2
5
0
0
2010 - Dez
2011 - Jan
2011 - Feb
1
sehr kritisch
2010 - Dez
2011 - Jan
2011 - Feb
Cross Site Scripting
(XSS)
1
3
2
Denial of Service (DoS)
4
4
3
Designfehler
1
3
1
Directory Traversal
kritisch
7
24
15
problematisch
7
20
6
Verlauf der letzten drei Monate Schwachstelle/Schweregrad
4
1
Fehlerhafte Leserechte
1
1
Fehlerhafte
Schreibrechte
1
Eingabeungültigkeit
1
Fehlende
Authentifizierung
Fehlende
Verschlüsselung
Format String
Konfigurationsfehler
Pufferüberlauf
7
18
4
Race-Condition
Schw ache
Authentifizierung
1
Schw ache
Verschlüsselung
Verlauf der letzten drei Monate Schwachstelle/Kategorie
15/22
s c i p
a g
© scip AG
Registrierte Schwachstellen by scip AG
60
45
40
2011 - Dez
2011 - Nov
2011 - Sep
2011 - Aug
2011 - Jul
2011 - Jun
2011 - Mai
2011 - Apr
2011 - Mrz
2011 - Feb
2011 - Jan
0
2011 - Okt
21
20
Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode 2011
50
45
40
35
30
25
20
15
10
5
0
2011 - Jan 2011 - Feb 2011 - Mrz 2011 - Apr 2011 - Mai 2011 - Jun 2011 - Jul 2011 - Aug 2011 - Sep 2011 - Okt 2011 - Nov 2011 - Dez
sehr kritisch
1
kritisch
24
15
problematisch
20
6
Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 2011
16/22
s c i p
a g
© scip AG
20
18
16
14
12
10
8
6
4
2
0
2011 - Jan
2011 Feb
Cross Site Scripting (XSS)
3
2
4
3
2011 Apr
2011 - Mai 2011 - Jun 2011 - Jul
2011 Aug
2011 Sep
2011 - Okt
2011 Nov
2011 Dez
3
Designfehler
1
Directory Traversal
4
1
1
1
Fehlerhafte Schreibrechte
1
2011 Mrz
Fehlende Authentifizierung
Fehlende Verschlüsselung
Format String
Pufferüberlauf
18
4
Race-Condition
1
Schw ache Authentifizierung
Schw ache Verschlüsselung
SQL-Injection
2
Symlink-Schw achstelle
1
Umgehungs-Angriff
Unbekannt
11
5
Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 2010
17/22
s c i p
a g
© scip AG
Registrierte Schwachstellen by scip AG
280
260
254
240
228 229
227 224
220
210
200
198
195
183
180
168
160
165
159
157
150
154
145
140
120
117
114
100
97
91
88
80
82
60
66
60
51
43 47
40
33
31
41
40
41
25
20
2011 - Q1
2010 - Q4
2010 - Q3
2010 - Q2
2010 - Q1
2009 - Q4
2009 - Q3
2009 - Q2
2009 - Q1
2008 - Q4
2008 - Q3
2008 - Q2
2008 - Q1
2007 - Q4
2007 - Q3
2007 - Q2
2007 - Q1
2006 - Q4
2006 - Q3
2006 - Q2
2006 - Q1
2005 - Q4
2005 - Q3
2005 - Q2
2005 - Q1
2004 - Q4
2004 - Q3
2004 - Q2
2004 - Q1
2003 - Q4
2003 - Q3
2003 - Q2
2003 - Q1
0
Verlauf der Anzahl Schwachstellen pro Quartal seit Q1/2003
300
250
200
150
100
50
0
200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 200 201 201 201 201 201
3- 3- 3- 3- 4- 4- 4- 4- 5- 5- 5- 5- 6- 6- 6- 6- 7- 7- 7- 7- 8- 8- 8- 8- 9- 9- 9- 9- 0- 0- 0- 0- 1Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1
sehr kritisch
10
14
24
8
5
5
2
3
1
4
6
4
1
1
3
kritisch
9
51
83
71
59
78
67
110
96
125
92
89
96
114 135
2
2
97
81
problematisch
12
26
61
71
50
74
48
115 132 125 100
66
86
111
87
1
7
3
3
2
3
1
8
5
7
3
1
6
1
44
51
43
42
27
28
14
21
13
24
8
19
22
18
39
112 111 101 100 107
51
43
53
29
28
18
15
9
14
22
28
17
26
53
Verlauf der Anzahl Schwachstellen/Schweregrad pro Quartal seit Q1/2003
18/22
s c i p
a g
© scip AG
100
90
80
70
60
50
40
30
20
10
0
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
03 - 03 - 03 - 03 - 04 - 04 - 04 - 04 - 05 - 05 - 05 - 05 - 06 - 06 - 06 - 06 - 07 - 07 - 07 - 07 - 08 - 08 - 08 - 08 - 09 - 09 - 09 - 09 - 10 - 10 - 10 - 10 - 11 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1
4
4
1
3
1
2
7
2
2
5
3 18 39 30 19 34 29 35 33 55 41 43 46 35 49 60 53 29 18 22 13 10 11 1
5 11 9 10 4
4
2
4
4
6
8
7
7
7
Designfehler
7 10 22 16 12 27 23 59 89 80 45 32 39 63 40 42 11 4 12 14 8 15 15 3 12 4
5
2
3
3
6
1
3
Cross Site Scripting (XSS)
Directory Traversal
4
Fehlende Authentifizierung
Fehlende Verschlüsselung
1
4
2
1
2
3
2
3
1
5
2
3
3
4
4
4
2
6
5 25 19 12 10 17 16 7 11 13 22 24 8
3
4
1
1
2
1
3
8
2
3
2
7
1
1
1
1
2
4
2
4 14 6
1
2
3
2
1
9
6
2
8
2
3
2
3
7
2
1
4
6
5
7
3
7
2
4
3
4
2
3
1
8
8
6 11 13 5
4
4
3
2
1
5
3
1
4
2
4
2
2
1
1
2
1
4
2
5
1
2
6
5
2
1
1
1
8 10 10 2
1
3
9
2
1
3
4
1
4
2
1
1
1
1
1
3
5
1
2
1
2
1
3
Pufferüberlauf
10 24 55 42 26 34 28 65 53 54 45 39 48 57 63 52 52 66 64 68 44 49 39 45 18 31 18 30 12 19 33 24 22
Race-Condition
1
Schw ache Authentifizierung
Schw ache Verschlüsselung
SQL-Injection
2
2
1
2
5
2
2
2
1
2
Unbekannt
1
1
3
6
7
4
1
1
2
5
3
3
4
6
4
2
1
6 10 2
2
3
7
5
6
2
2
2
2
3
1
1
3
1
1
1
Symlink-Schw achstelle
Umgehungs-Angriff
6
2
1
2
3
4
1
7
1
4
4
6
1
7 11 8
Fehlerhafte Schreibrechte
Format String
4
1
1
1
2
1
1
1
2
2
2
1
1
2
3
3 10 3 14 5
1
5
5
3
6
6
6
7
1
2
8
5
8 16 6
1
1
1
1
1
1
1
1
1
1
1
1
1
6
2
3
3
1
4
9
8 10 3
1
2
8 11 13 18 19 17 7
4
9
1
2
2
3
5
2
1
5
2
2
3
6
2
3
1
1
1
3
2 16
Verlauf der Anzahl Schwachstellen/Kategorie pro Quartal seit Q1/2003
19/22
s c i p
a g
© scip AG
5.
Labs
Im
scip
Labs
werden
unter
http://www.scip.ch/?labs regelmässig Neuigkeiten
und Forschungsberichte veröffentlicht.
5.1 Erfolgreicher Angriff gegen X-pire!
31.01.2011 Marc Ruef, maru-at-scip.ch
Die letzten Wochen wurde in den deutschen Medien fortwährend von einem neuen Projekt zur
Wahrung der Privatsphäre der Internet-Benutzer
berichtet (z.B. Süddeutsche Zeitung, Heise).
Durch das Kryptosystem X-pire! von Prof. Michael Backes sollte es von nun an möglich sein,
dass im Internet bereitgestellte Bilder mit einem
Verfallsdatum versehen werden.
In Fachkreisen war das Projekt – welches politisch durch die Bundesverbraucherministerin Ilse
Aigner (CSU) getragen wird – schon vor Bekanntgabe von Details aus technischen, politischen, wirtschaftlichen und rechtlichen Gründen
umstritten (TAZ, Die Welt). Entsprechend mit
Spannung wurde die Veröffentlichung der Software erwartet. Auf der Projektseite unter xpire.de können einige sehr allgemeine Informationen sowie das dazugehörige Firefox-Addon
heruntergeladen werden.
Wir haben uns intensiv mit der Funktionsweise
der Lösung auseinandergesetzt, um allfällige
Schwachstellen in dieser finden und beweisen zu
können. Hadmut Danisch hat in seinem umfangreichen Blog-Post mit dem Titel Idiotische Kryptographie, Made in Germany verschiedene
Schwachpunkte der genutzten Ansätze zusammengefasst. Wir konzentrieren uns in diesem
Beitrag auf den Ansatz des Auslesens und Wiederverwendens von legitimen Schlüsseln.
eingesehen werden kann:
Mit X-pire! will also durchgesetzt werden, dass
ein Bild nach dem Ablauf des vordefinierten Zeitpunkts nicht mehr geladen wird. Dieses Ziel wird
auf verschiedenen Ebenen verfehlt. Dass ein
legitim angezeigtes und heruntergeladenes Bild
weiterverarbeitet und ohne das weiterführende
Zutun von X-pire! genutzt werden kann, erscheint
offensichtlich (Stichwort Printscreen). Auf technischer Ebene interessanter ist jedoch der Umstand, dass durch das Auslesen und Zwischenspeichern der symmetrischen Schlüssel diese
ohne zukünftige Absegnung des Schlüsselservers weiterverwendet werden können.
Auslesen der Schlüssel
Will ein mit X-pire! verschlüsseltes Bild angezeigt
werden, fragt das Plugin bei keyserver.xpire.net um den Erhalt des entsprechenden
Schlüssels an. Hierzu wird der Hashwert
(SHA256) des Bilds an den Server übermittelt,
anhand dessen sich das Bild und der dazugehörige Schlüssel identifizieren lassen.
Die Bearbeitung des Bilds durch den damit erlangten Schlüssels wird im Firefox-Addon in
\chrome\content\overlay.js umgesetzt. Von
Interesse
ist
die
Funktion
Xpire.KeyServerApi.getKey(), welche für das
Entschlüsseln verantwortlich ist. Sie benutzt die
exportierten Funktionen der vorkompilierten Datei
\components\XpireJPEG.dll (Quelltext steht
nicht zur Verfügung):
lib.decryptJPEG(img.value,
result.key, base64, width,
height);
Einführung
Das Grundprinzip der Lösung besteht darin, dass
ein Benutzer zuerst ein Konto erstellt. Mit diesem
wird es ihm erlaubt, kostenpflichtig ein Bild mit
AES256 zu verschlüsseln und diese Fassung in
Internet hochzuladen. Damit ein anderer Benutzer dieses Bild einsehen kann, muss er das Xpire! Plugin installieren. Dieses fragt beim Erkennen von verschlüsselten Bildern beim Schlüsselserver an, ob das Bild schon abgelaufen ist. Ist
dies nicht der Fall, wird der Schlüssel an den
Client zurückgegeben, der damit das Bild entschlüsseln und anzeigen kann. Bleibt ein solches
Entschlüsseln aus, wird ein Hinweis auf das Ablaufen des Bildes angezeigt. Nachfolgende Grafik
illustriert das Resultat dieses Prozesses, wobei
das erste Bild im Gegensatz zu den anderen
beiden aufgrund des Verfallsdatums nicht mehr
20/22
s c i p
a g
© scip AG
Das verschlüsselte Bild wird dann mit replaceFunction() umgewandelt und damit im
Browser ohne weiteres Zutun des Benutzers
(sofern keine CAPTCHAs aktiviert sind) angezeigt:
replaceFunction(image,
"data:image/jpeg;base64," +
base64.value);
In unserer modifizierten Version des FirefoxAddons wird dieser Funktionsablauf um einen
Logging-Mechanismus erweitert, wodurch die
Grundlage für ein Zwischenspeichern des legitimen Keys geschaffen wird. Dabei wird bei jeder
erfolgreichen Umwandlung eine Alert-Box generiert, und darin auf den neu erhaltenen Key hingewiesen:
Das grundlegende Problem besteht in der Nutzung einer symmetrischen Verschlüsselung, deren Schlüssel nicht ablaufen kann. In einem weiteren Schritt sollen nun die erhaltenen Schlüssel
gesammelt und in einem lokalen Cache abgelegt
werden. Dadurch lassen sich diese wiederverwenden.
Wiederverwenden der Schlüssel
Durch die zuvor vorgestellte Funktion besteht die
Möglichkeit, eine Liste mit den erhaltenen
Schlüsseln zu erstellen. Ein Bild wird einerseits
durch seinen Hash-Wert in hash.value als auch
durch eine Identifikationsnummer in id.value
identifiziert. Der dazugehörige Schlüssel wird in
result.key abgelegt.
Durch das Speichern dieser Informationspaare
können nun die Schlüssel lokal gesammelt werden. Auf der Demo-Webseite des Projekts werden drei geschützte Bilder bereitgestellt (siehe
Screenshot oben), wobei durch die Datensammlung folgende Informationen zusammengetragen
werden konnten:

Hash:

Key:
fb1c038c912c46c41181c8cb32b39e39
6abacdb0abf1d0683b6ca3d12ee386ba
e6f207509afa3908
da116ce61a757695
Durch diese dynamisch angefertigte LookupTable wird es möglich, im weiteren Verlauf den
Zugriff auch auf jene Schlüssel zu gewährleisten,
die mittlerweile aufgrund des Ablaufzeitpunkt des
Bilds nicht mehr durch den Schlüsselserver herausgegeben werden würden. Stattdessen wird
einfach auf den lokalen Key-Cache zugegriffen
und damit der Server umgangen. Auf der ProjektWebseite wird auf diese drohende Gefahr eines
Key-Store hingewiesen.
Fazit
Dieser Beitrag illustriert lediglich einen der möglichen Angriffe auf das gesamte System. Es gibt
eine Vielzahl anderer Varianten, wie die Funktionsweise und Sicherheit dessen attackiert und
kompromittiert werden kann. Die Lösung missachtet eine erstaunlich hohe Anzahl grundlegender Aspekte von moderner Informationssicherheit
und Kryptografie (z.B. symmetrische Kryptografie
verfehlt das Ziel, Wiederverwendung von Keys
nicht geregelt, Revoke-Möglichkeit ausser Acht
gelassen, Server als Single Point of Failure, etc.)
Es ist damit in keinster Weise geeignet, gegen
Angreifer mit einem minimalen Verständnis für
die eingesetzten Mechanismen vorzugehen.
Die gezeigten Anpassungen im bereitgestellten
Code beweisen zudem, dass ein manipuliertes
Addon gleichzeitig als erfolgreiches Angriffswerkzeug eingesetzt werden kann. Der Erfolg dieses
Ansatzes fusst in erster Linie darauf, dass sich
die Entwickler von X-pire! darauf verlassen, dass
ein Benutzer keine böswilligen Absichten hat.
Dies ist jedoch Wunschdenken und blendet
schlichtweg in naiver Weise die bestehenden und
bestens bekannten Gefahren aus. Wir raten vom
Einsatz dieser Lösung im gegenwärtigen Zustand
ab.
Verschiedene Nachrichtenportale berichten über
unsere Entwicklung. Unter anderem:





Heise – Bilder anschauen trotz ‘InternetRadiergummi’
Golem – X-pire: Digitaler Radiergummi
angeblich unsicher
WinFuture – Experten: Digitaler Radiergummi ist viel zu unsicher
20 Minuten – Wir entwickeln auch Trojanische Pferde
ZDF Heute – Digitaler Radiergummi ausgehebelt
Zudem wurde anonym eine in C++ geschriebene
und quelloffene Re-Implementierung des X-pire!
Plugins veröffentlicht. Dieses lässt einfache Manipulationen und damit ebenfalls die Kompromittierung des Systems zu.
21/22
s c i p
a g
© scip AG
6.
Impressum
Herausgeber:
scip AG
Badenerstrasse 551
CH-8048 Zürich
T +41 44 404 13 13
info-at-scip.ch
http://www.scip.ch
Zuständige Person:
Marc Ruef
Security Consultant
T +41 44 404 13 13
maru-at-scip.ch
scip AG ist eine unabhängige Aktiengesellschaft
mit Sitz in Zürich. Seit der Gründung im September 2002 fokussiert sich die scip AG auf Dienstleistungen im Bereich Information Security. Unsere Kernkompetenz liegt dabei in der Überprüfung
der implementierten Sicherheitsmassnahmen
mittels Penetration Tests und Security Audits
und der Sicherstellung zur Nachvollziehbarkeit
möglicher Eingriffsversuche und Attacken (LogManagement und Forensische Analysen). Vor
dem Zusammenschluss unseres spezialisierten
Teams waren die meisten Mitarbeiter mit der
Implementierung von Sicherheitsinfrastrukturen
beschäftigen. So verfügen wir über eine Reihe
von Zertifizierungen (Solaris, Linux, Checkpoint,
ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen
unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich
in selbst geschriebenen Routinen zur Ausnutzung
gefundener Schwachstellen, dem Coding einer
offenen Exploiting- und Scanning Software als
auch der Programmierung eines eigenen LogManagement Frameworks. Den kleinsten Teil
des Wissens über Penetration Test und LogManagement lernt man jedoch an Schulen – nur
jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren.
Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch
angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an smssfeedback@scip.ch. Das Errata (Verbesserungen,
Berichtigungen, Änderungen) der scip monthly
Security Summarys finden Sie online. Der Bezug
des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden!
22/22

Ausgabe Februar

Transcription

Similar documents

Sophos - Viren und Spam

Fehlermeldungen EDIABAS

Sicherheit in 802.11-Netzwerken - Fakultät für Mathematik und

Best Practices - Kaspersky Lab

scip ag

scip ag

scip ag

bestens bekannt

scip ag

scip ag

SMART Notebook 14 Kurzanleitung - Centre fri-tic

Check Point Endpoint Security

Bedienungsanleitung