SECURITY NEWSLETTER

Transcription

SECURITY NEWSLETTER
03.12.12, 45990/Best.-Nr. 410385
SECURITY
NEWSLETTER
24
12
Analysen und Lösungen zu aktuellen Gefahren für die Daten- und Netzwerksicherheit
Editorial
Inhalt
Mehr Sicherheit für SSL-Verbindungen
Alle Betriebssysteme
SSL-Verbindungen werden im Web meist dann eingesetzt,
wenn sensible Daten über eine Verschlüsselung bei der
Übertragung zwischen Server und Rechner des Anwenders
geschützt werden sollen. Aber wie bei fast allen Sicherheitsfunktionen gibt es Angriffsformen, die diesen Schutz
aushebeln. Entsprechende Gegenmaßnahmen werden allerdings nach einer aktuellen Studie vernachlässigt.
Höhere Rechte an der WebSphere DataPower
XC10 Appliance ............................................................... 1
Neue Versionen von Firefox, Thunderbird &
SeaMonkey ...................................................................... 2
Fehler in HP Autonomy Keyview tangieren zahlreiche
Symantec-Lösungen ......................................................... 2
Security-Updates für VMware vSphere API und
ESX Service Console ....................................................... 2
Novell File Reporter 1.0.2 mit nicht gepatchten
Schwachstellen ................................................................. 3
Das Ausschalten der SSL-Verschlüsselung im Browser
durch einen Man-in-the-Middle-Angriff ist eine schwerwiegende Sicherheitslücke, die in ungeschützten Umgebungen wie etwa in öffentlichen WLANs leicht ausgenutzt
werden kann. Als Folge eines erfolgreichen Angriff können Unbefugte an sensible Informationen gelangen.
In Form eines HTTP-Headers existiert ein Schutzmechanismus, mit dem der Server-Betreiber die Gefahr der erfolgreichen Durchführung eines solchen Angriffs auf ein
Minimum reduzieren kann. Notwendig hierfür ist es allerdings, dass er diesen HSTS-Header (HTTP Strict Transport Security) samt der passenden Parameter auf seinen
SSL-Seiten einbindet.
Und genau dies passiert nach einer Studie von SecureNet
nur äußerst selten. Für die Untersuchung „Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)“*
wurden die weltweit eine Million meistbesuchten Websites
überprüft, darunter rund 40.000 deutsche Websites.
Obwohl diese Schwachstelle seit 2009 bekannt ist und der
Header mittlerweile von fast allen Browsern unterstützt
wird, schützen weniger als 0,5 Prozent der Websites ihre
Benutzer in besagter Weise. Und die wenigen Seiten, die
HSTS zur Anwendung bringen, haben diese Schutzfunktion oftmals so konfiguriert, dass sie ihren Zweck kaum
erfüllen kann.
Frank Gotta
Chefredakteur
* http://www.securenet.de/fileadmin/papers/HTTP_Strict_Tra
nsport_Security_HSTS_Verbreitung.pdf
Security Newsletter 24/12
Windows
November-Patchday bei Microsoft .................................. 3
Zwei Sicherheitslücken in IBM InfoSphere Discovery.... 3
Unix/Linux
Solaris: Neues aus dem Third Party Vulnerability
Resolution Blog ............................................................... 4
Kurzmeldungen ................................................................ 3
Impressum ........................................................................ 6
Alle Betriebssysteme
■ Höhere Rechte an der
WebSphere DataPower XC10 Appliance
Betriebssystem WebSphere DataPower XC10
Appliance
Software Firmware
Angriffe Erhöhen von Rechten, Denial of
Service
Schutz Software-Update
Mehrere Schwachstellen in der Firmware der WebSphere
DataPower XC10 Appliance erlauben es Angreifern, sich
höhere Rechte zu verschaffen [1]. Betroffen sind die Firmware-Versionen 2.0.0.0 bis 2.0.0.3 und 2.1.0.0 bis 2.1.0.2.
(fgo)
Seite 1
Problem
1. Eine ungeschützte Schnittstelle erlaubt es einem nicht
autorisierten Anwender, Server-Prozesse ohne die entsprechenden Rechte zu stoppen.
2. Authentifizierte Anwender können beliebige JMX-Befehle ausführen. Das kann dazu führen, dass sie auch
administrative Befehle absetzen können, ohne über die
entsprechenden Admin-Berechtigungen zu verfügen.
3. Der geheime Schlüssel für die Server-zu-Server-Kommunikation ist unter gewissen Rahmenbedingungen
auch Angreifern zugänglich, die sich so quasi als Container-Server mit der XC10-Appliacne verbinden können.
Empfehlung
IBM stellt korrigierende Updates zum Download [2] bereit.
Information
[1] http://www-01.ibm.com/support/docview.wss?uid=swg21615783
[2] http://www-01.ibm.com/support/docview.wss?uid=swg24033740
■ Neue Versionen von Firefox, Thunderbird
& SeaMonkey
Betriebssystem alle Systeme
Software Firefox, Thunderbird, SeaMonkey
Angriffe remotes Ausführen von Code,
Cross-Site Scripting, Denial of
Service, Zugriff auf sensible Informationen, Umgehen von Sicherheitsfunktion
Schutz Software-Update
Die Programmierer von Mozilla haben mit neuen Versionen diverse Schwachstellen in Firefox beseitigt. Parallel
wurden SeaMonkey und Thunderbird aktualisiert. (fgo)
Problem
1. Im Changelog für die Firefox-Version 17 sind 16 geschlossene Schwachstellen aufgeführt, darunter sechs
als „critical“ eingestufte, die die remote Codeausführung erlauben [1].
2. Parallel wurden zwölf Sicherheitslücken in SeaMonkey
2.14 geschlossen, von denen fünf als kritisch eingestuft
sind [2].
3. Dritter im Bunde der fehlerbereinigten Software-Pakete
ist Thunderbird, das nun parallel zu Firefox in Version
17 vorliegt [3].
Empfehlung
Der manuelle Download der neuen Versionen kann über
die Projekt-Seiten erfolgen: Firefox 17.0 [4], SeaMonkey
2.14 [5] und Thunderbird 17 [6]. Die ESR-Versionen (Extended Support Release) werden nun parallel nummeriert,
hier sind also Firefox 17 [7] und Thunderbird 17 [8] aktuell. Für die 10.x-ESRs von Firefox [9] und Thunderbird
[10] stehen ebenfalls Updates zur Verfügung.
Information
[1] http://www.mozilla.org/security/known-vulnerabilities/firefox.html
[2] http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html
[3] http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html
[4] http://www.mozilla.org/en-US/firefox/all.html
[5] http://www.seamonkey-project.org/releases/
[6] http://www.mozilla.org/en-US/thunderbird/all.html
[7] ftp://ftp.mozilla.org/pub/firefox/releases/17.0esr/
[8] ftp://ftp.mozilla.org/pub/thunderbird/releases/17.0esr/
Seite 2
[9] ftp://ftp.mozilla.org/pub/firefox/releases/10.0.11esr/
[10] ftp://ftp.mozilla.org/pub/thunderbird/releases/10.0.11esr/
■ Fehler in HP Autonomy Keyview
tangieren zahlreiche Symantec-Lösungen
Betriebssystem Windows, Unix, Linux, Appliances
Software Symantec Mail Security for
Microsoft Exchange 6.5.7 und
früher, Symantec Mail Security for
Domino 8.1.0 und früher, Symantec
Messaging Gateway 9.5.x,
Symantec Data Loss Prevention
Enforce/Detection Server 11.x,
Symantec Data Loss Prevention
Endpoint Agents 11.x
Angriffe remotes Ausführen von Code,
Denial of Service
Schutz Software-Update
Mehrere Sicherheitslücken in den HP-Autonomy-Keyview-Modulen, die in diversen Symantec-Produkten zum
Einsatz kommen, werden über die jetzt veröffentlichten
Software-Aktualisierungen geschlossen. (fgo)
Problem
Die Autonomy-Keyview-Filter kommen teilweise als Systemprozesse oder in deren Kontext zum Einsatz; hier können die Auswirkungen eines erfolgreichen Angriffs am
schwerwiegendsten sein. Die Folgen reichen laut Symantec von Denial-of-Service-Attacken bis zur unbefugten remoten Codeausführung.
Empfehlung
Symantec stellt korrigierende Updates bereit. Updates für
SMS for Domino und Microsoft Exchange sind über die
Platinum-Support-Website [2] für Platinum-Kunden oder
durch die Software Distribution Website von FileConnectElectronic [3] verfügbar. Die Updates für Symantec DLP
stehen über Secure File Exchange [4] zur Verfügung.
Information
[1] http://www.symantec.com/security_response/securityu
pdates/detail.jsp?fid=security_advisory&pvid=security_a
dvisory&year=&suid=20121120_00
[2] https://www-secure.symantec.com/platinum/login.html
[3] https://fileconnect.symantec.com/licenselogin.jsp
[4] https://exftpp.symantec.com/
■ Security-Updates für VMware vSphere
API und ESX Service Console
Betriebssystem alle Systeme
Software VMware vSphere API, ESX Service
Console
Angriffe Denial of Service, Cross-Site Scripting, Umgehen von Sicherheitsfunktionen, Zugriff auf sensible Daten
Schutz Software-Update
VMware hat ein Update für die vSphere API veröffentlicht, um eine DoS-Schwachstelle in ESX und ESXi zu
beseitigen. Zudem wurde ein Update für die ESX Service
Console veröffentlicht, über das Schwachstellen in diversen Open-Source-Komponenten geschlossen werden können [1]. (fgo)
Security Newsletter 24/12
Problem
1. Die DoS-Schwachstelle in der vSphere API resultiert
aus einer ungenügenden Überprüfung von Eingaben.
Mittels einer präparierten API-Anfrage ist es möglich,
den Host-Daemon zu deaktivieren.
2. Zu den in der ESX Service Console aktualisierten Anwendungen zählen ISC BIND, der Python SimpleHTTPServer, der ASN.1 Decoder der Network Security
Services (NSS) und des Netscape Portable Runtime
(NSPR), Python und die Python Distutils sowie Expat.
Empfehlung
Es stehen korrigierende Patches zum Download [2] zur
Verfügung.
Information
[1] http://www.vmware.com/security/advisories/VMSA-2012-0016.html
[2] http://downloads.vmware.com/go/selfsupport-download
■ Novell File Reporter 1.0.2
mit nicht gepatchten Schwachstellen
Betriebssystem Windows, Linux, NetWare
Software Novell File Reporter 1.0.2
Angriffe remotes Ausführen von Code, Zugriff auf sensible Daten, Dateimanipulationen, Erhöhen von Rechten
Schutz Workaround
Das US-CERT warnt vor mehreren Schwachstellen im
Novell File Reporter 1.0.2 [1], für die ein Proof of Concept
existiert [2]. (fgo)
Problem
Zu den Ursachen für die Sicherheitslücken zählen unter
anderem ein Pufferüberlauf auf dem Heap und die Möglichkeit zum unbefugten Download bzw. Upload beliebiger Dateien. Im schwerwiegendsten Fall eines erfolgreichen Angriffs kann Code über das Netzwerk ausgeführt
werden.
Empfehlung
Herstellerseitig existiert bislang noch keine Lösung für die
Probleme. Das US-CERT empfiehlt, die Software mittels
Firewall abzusichern. Sinnvoll ist es, den von NFRAgent.exe genutzten Port 3037/TCP nach außen zu blockieren.
Information
[1] http://www.kb.cert.org/vuls/id/273371
[2] https://community.rapid7.com/community/metasploit/bl
og/2012/11/16/nfr-agent-buffer-vulnerabilites-cve-2012-4959
Windows
■ November-Patchday bei Microsoft
Betriebssystem Windows
Software Internet Explorer, Briefcase,
Internet Information Services (IIS),
.NET Framework, Kernel-ModeTreiber, Excel
Angriffe remotes Ausführen von Code,
Zugriff auf sensible Informationen,
Erhöhen von Rechten
Schutz Software-Update
Security Newsletter 24/12
Mit sechs neuen Security-Bulletins, die Patches zur Beseitigung von insgesamt 19 Schwachstellen bieten, wartet Microsoft an seinem regulären Patchday im November auf. (fgo)
Problem
1. Ein kumulatives Update für den Internet Explorer soll
drei kritische Sicherheitslücken schließen, die unter anderem die remote Codeausführung erlauben (MS12071) [1].
2. Ein Patch behebt zwei kritische Windows-Schwachstellen im Aktenkoffer (Briefcase), die auf Speicherfehlern beruhen und durch manipulierte Aktenkoffer, die
vom Anwender geöffnet werden, die unbefugte Ausführung beliebigen Codes über das Netzwerk mit den
Rechten des angemeldeten Benutzers erlauben (MS12072) [2].
3. Zwei Schwachstellen in den Internet Information Services (IIS) erlauben unter anderem durch das Senden
speziell gestalteter FTP-Befehle an den Server den Zugriff auf sensible Informationen (MS12-073) [3].
4. Fünf Schwachstellen im .NET Framework bieten Angreifern im schwerwiegendsten Fall einer erfolgreichen
Ausnutzung die Möglichkeit zur remoten Codeausführung (MS12-074) [4].
5. Die Kernel-Mode-Treiber von Windows weisen drei
Schwachstellen auf, die nicht nur eine Erweiterung der
Rechte von lokalen Benutzern, sondern auch die Ausführung von Code über das Netzwerk erlauben (MS12075) [5].
6. Manipulierte XLS-Dateien können beim Öffnen mit
Excel dazu führen, dass enthaltener Code mit den Rechten des aufrufenden Benutzers zur Ausführung kommt
(MS12-076) [6]. Davon ist auch die Mac-Version der
Software betroffen.
Empfehlung
Die zur Fehlerkorrektur bereitgestellten Updates können
entweder über die Security-Bulletins geladen oder über die
Funktion Microsoft-Update installiert werden.
Information
[1] http://technet.microsoft.com/de-de/security/bulletin/ms12-071
[2] http://technet.microsoft.com/de-de/security/bulletin/ms12-072
[3] http://technet.microsoft.com/de-de/security/bulletin/ms12-073
[4] http://technet.microsoft.com/de-de/security/bulletin/ms12-074
[5] http://technet.microsoft.com/de-de/security/bulletin/ms12-075
[6] http://technet.microsoft.com/de-de/security/bulletin/ms12-076
■ Zwei Sicherheitslücken in
IBM InfoSphere Discovery
Betriebssystem
Software
Angriffe
Schutz
Windows
IBM InfoSphere Discovery 4.5.1
Open Redirect, Cross-Site Scripting
Software-Update
Mehrere unter Windows eingesetzte Produkte der Reihe
IBM InfoSphere Discovery weisen zwei Schwachstellen
auf. (fgo)
Problem
Einige Scripts des Hilfesystems sind unsicher programmiert und erlauben Redirects von sicheren auf unsichere
Websites und Cross-Site-Scripting-Attacken. Betroffen sind
die Version 4.5.1 von InfoSphere Discovery Information
Center, InfoSphere Discovery for Information Integration,
InfoSphere Discovery for z/OS und InfoSphere Discovery
for Information Integration Workgroup Edition [1].
Seite 3
Empfehlung
IBM stellt Patches zur Beseitigung der Schwachstellen zur
Verfügung. Vor deren Einspielen muss der InfoSphere
Discovery Server gestoppt werden.
Information
[1] http://www-01.ibm.com/support/docview.wss?uid=swg21617872
Unix
■ Solaris: Neues aus dem
Third Party Vulnerability Resolution Blog
Betriebssystem Solaris 8, 9, 10, 11
Software LibTIFF, Gimp, Foomatic, libxml2,
ipmitool, ISC DHCP, ISC BIND,
Wireshark, tscd
Angriffe remotes Ausführen von Code,
Denial of Service,
Schutz Software-Update
Der Third Party Vulnerability Resolution Blog von Oracle
führt zahlreiche neue Schwachstellen in Software und
Komponenten auf, die auf Solaris-Systemen genutzt werden. (fgo)
Problem
1. Eine Schwachstelle in der Bibliothek LibTIFF erlaubt
Denial-of-Service-Attacken [1].
2. Gimp für Solaris 10 und 11 weist eine Schwachstelle
auf, die Angreifern die remote Codeausführung ermöglicht [2].
3. Mehrere Filterfehler in Foomatic erlauben im schwerwiegendsten Fall das unbefugte Ausführen von Code
[3].
4. Die Bibliothek libxml2 weist mehrere DoS-Sicherheitslücken auf [4] bis [9]. Zudem existiert in dieser
Bibliothek die Ursache für einen möglichen Pufferüberlauf, der sich im schwerwiegendsten Fall zur unbefugten Codeausführung über das Netzwerk missbrauchen
lässt [10].
5. In ipmitool wurde eine DoS-Schwachstelle korrigiert
[11].
6. ISC DHCP erlaubt es remoten Angreifern, durch ein
Reduzieren der „Expiration Time“ den Server zum Absturz zu bringen [12].
7. Mehrere remote ausnutzbare Denial-of-Service-Schwachstellen betreffen die Software ISC BIND [13], [14].
8. Zahlreiche Schwachstellen im Netzwerktool Wireshark
ermöglichen es remoten Angreifern im schwerwiegendsten Fall, beliebige Befehle zur Ausführung zu
bringen [15].
9. Eine Schwachstelle in tscd ermöglicht es einem Angreifer, den Daemon über das Netz zum Absturz zu bringen
[16].
Empfehlung
Über die jeweiligen Einträge im Third Party Vulnerability
Resolution Blog sind die Links zu den bereitgestellten
Updates verfügbar.
[3] https://blogs.oracle.com/sunsecurity/entry/multiple_vul
nerabilities_in_foomatic
[4] https://blogs.oracle.com/sunsecurity/entry/cve_2011_1944_denial_of
[5] https://blogs.oracle.com/sunsecurity/entry/multiple_de
nial_of_service_dos2
[6] https://blogs.oracle.com/sunsecurity/entry/multiple_de
nial_of_service_dos3
[7] https://blogs.oracle.com/sunsecurity/entry/cve_2012_0841_denial_of
[8] https://blogs.oracle.com/sunsecurity/entry/cve_2011_3
102_numeric_errors
[9] https://blogs.oracle.com/sunsecurity/entry/cve_2011_0216_denial_of
[10] https://blogs.oracle.com/sunsecurity/entry/cve_2008_
3529_buffer_overflow
[11] https://blogs.oracle.com/sunsecurity/entry/cve_2011_
4339_access_controls
[12] https://blogs.oracle.com/sunsecurity/entry/cve_2012_3955_denial_of
[13] https://blogs.oracle.com/sunsecurity/entry/cve_2012_5166_denial_of
[14] https://blogs.oracle.com/sunsecurity/entry/cve_2012_4244_denial_of
[15] https://blogs.oracle.com/sunsecurity/entry/multiple_v
ulnerabilities_in_wireshark3
[16] https://blogs.oracle.com/sunsecurity/entry/cve_2012_0698_denial_of
Kurzmeldungen
Alle Betriebssysteme
DoS-Lücke im Tivoli Endpoint Manager
for Remote Control Broker
Im Tivoli Endpoint Manager for Remote Control Broker
Version 8.2 und früher für Windows, AIX und Linux liegt
eine nicht näher definierte Denial-of-Service-Schwachstelle vor, deren Ausnutzung dazu führt, dass alle Ressourcen eines betroffenen Systems aufgebraucht werden [1].
Um die fehlerbereinigte Broker-Komponente 8.2.1 (Build
0024) zu installieren, ist das Einspielen des Tivoli Endpoint Manager for Remote Control Fix Packs 8.2.1-TIVTEMRC821-IF0002 notwendig, das diese enthält. (fgo)
[1] http://www-01.ibm.com/support/docview.wss?uid=swg21616746
Java-Update für
IBM Security Appscan Source
Für die Versionen 7.0 bis 8.6.0.1 von IBM Security Appscan Source für die Plattformen Windows, Solaris und
Linux stellt IBM nun ein Update auf Version 8.6.0.2 zur
Verfügung, über das zahlreiche Schwachstellen im verwendeten Oracle Java geschlossen werden [1]. Bei Oracle
war dieses Java-Update im Juni 2012 erfolgt [2]. (fgo)
[1] http://www-01.ibm.com/support/docview.wss?uid=swg21616184
[2] http://www.oracle.com/technetwork/topics/security/jav
acpujun2012-1515912.html
Opera bessert nach
Die erst kürzlich erschienene Version Opera 12.10 hat
bereits eine Nachbesserung erfahren, um zwei Schwachstellen zu schließen, die sowohl den Zugriff auf Zugriffspfade als auch – schwerwiegender – die unbefugte remote
Codeausführung erlauben [1]. Aktuell ist nun die OperaVersion 12.11, die zum Download [2] bereitsteht. (fgo)
[1] http://www.opera.com/docs/changelogs/unified/1211/
[2] http://www.opera.com/browser/download/?custom=yes
Information
[1] https://blogs.oracle.com/sunsecurity/entry/cve_2012_3401_denial_of
[2] https://blogs.oracle.com/sunsecurity/entry/cve_2012_4
245_arbitrary_code
Seite 4
Security Newsletter 24/12
Schwachstelle im IBM WebSphere Portal
geschlossen
Eine Schwachstelle im IBM WebSphere Portal 7.0.0.x und
8.0 für AIX, IBM i, Linux, Solaris, Windows und z/OS
erlaubt URL-Manipulationen [1]. IBM stellt einen InterimFix für das WebSphere Portal 7.0.0.1 und 7.0.0.2 sowie
einen kumulativen Fix für das WebSphere Portal 8.0 zur
Verfügung. (fgo)
[1] http://www-01.ibm.com/support/docview.wss?uid=swg21617713
Ruby mit Denial-of-Service-Schwachstelle
Die Programmiersprache Ruby weist eine Schwachstelle in
der Hash-Funktion für die Verarbeitung von Zeichenketten
auf, die Angreifern Denial-of-Service-Attacken erlaubt.
Abhilfe schafft das Einspielen des Updates auf Version
Ruby 1.9.3-p327, die zum Download [2] zur Verfügung
steht. (fgo)
[1] http://www.ruby-lang.org/en/news/2012/11/09/ruby19hashdos-cve-2012-5371/
[2] http://www.ruby-lang.org/en/news/2012/11/09/ruby-19-3-p327-is-released/
Java von IBM IMS Audit Management
Expert für z/OS 1.2 wurde aktualisiert
Das Tool IBM IMS Audit Management Expert für z/OS
1.2 nutzt das Java Runtime Environment (JRE) in Version
5, das bekanntlich diverse Schwachstellen aufweist [1].
Entsprechende Updates für das JRE stehen zur Verfügung.
(fgo)
[1] http://www-01.ibm.com/support/docview.wss?uid=swg21617572
HP Integrated Lights-Out iLO3 und iLO4
mit Sicherheitslücke
Bei HP Integrated Lights-Out iLO3 und iLO4 mit den
Firmware-Versionen 1.11 bzw. 1.28 wurde eine remote
ausnutzbare Schwachstelle gefunden [1]. Sie kann ausgenutzt werden, um unbefugt Informationen von anfälligen
Geräten zu erhalten. Ein jetzt bereitgestelltes FirmwareUpdate auf Version 1.13 bzw. 1.50 behebt dieses potenzielle Problem. (fgo)
[1] https://h20566.www2.hp.com/portal/site/hpsc/public/k
b/docDisplay?docId=emr_na-c03515413
Update von Typo3 angeraten
In den Produktivversionen 4.5.0 bis 4.5.20, 4.6.0 bis 4.6.13
und 4.7.0 bis 4.7.5 von TYPO3 wurden verschiedene
Schwachstellen gefunden. Sie erlauben Angreifern das
Durchführen von Angriffen via SQL-Injection oder CrossSite Scripting, um Zugang zu vertraulichen Daten zu erhalten [1]. Beseitigt werden die Probleme durch das Einspielen der Versionen 4.5.21, 4.6.14 oder 4.7.6 [2]. (fgo)
[1] http://typo3.org/support/teams-security-security-bulletins/securitybulletins-single-view/article/several-vulnerabilities-in-typo3-core/
[2] http://typo3.org/download/
Windows
Microsoft aktualisiert Security-Bulletin
für Visual Basic für Applikationen
[1] http://technet.microsoft.com/de-de/security/bulletin/ms12-046
[2] http://support.microsoft.com/kb/2687626/de
[3] http://support.microsoft.com/kb/2749655/de
Adobe schließt DoS-Schwachstelle
in ColdFusion 10
In Adobe ColdFusion 10 Update 1 bis 4 für Windows
Internet Information Services (IIS) existiert laut SecurityBulletin APSB12-25 [1] eine nicht näher definierte Denialof-Service-Schwachstelle. Der Hersteller hat reagiert und
stellt als Hotfix ColdFusion 10 Update 5 zur Verfügung
[2]. Dabei handelt es sich um ein kumulatives Update, das
auch vorangegangene Korrekturen enthält. (fgo)
[1] http://www.adobe.com/support/security/bulletins/apsb
12-25.html
[2] http://helpx.adobe.com/coldfusion/kb/coldfusionsecurity-hotfix-apsb12-25.html
Patches für Dell OpenManage
Server Administrator verfügbar
Dell OpenManage Server Administrator (OMSA) bietet
die Möglichkeit zur Verwaltung des Geräts über WebUI
oder CLI. OMSA Version 7.1 und früher zeigt eine Lücke,
die Cross-Site-Scripting-Angriffe ermöglicht [1]. Patches
stehen herstellerseitig zur Verfügung, und zwar als Versionen 6.5.0.1 [2], 7.0.0.1 [3] und 7.1.0.1 [4]. (fgo)
[1] http://www.kb.cert.org/vuls/id/558132
[2] http://www.dell.com/support/drivers/us/en/19/DriverD
etails/Product/poweredger710?driverId=JJMWP&osCode=WNET&fileId=3082295338
[3] http://www.dell.com/support/drivers/us/en/19/DriverD
etails/Product/poweredger710?driverId=PCXMR&osCode=WNET&fileId=3082295344
[4] http://www.dell.com/support/drivers/us/en/19/DriverD
etails/Product/poweredger710?driverId=5JDN0&osCode=WNET&fileId=3082293694
Unix
Neue Patches für FreeBSD
beseitigen Schwachstellen
Zu FreeBSD sind drei neue Security-Meldungen samt
zugehöriger Patches erschienen. FreeBSD-SA-12:06.bind
[1] nimmt diverse Denial-of-Service;Schwachstellen in
ISC BIND unter die Lupe. FreeBSD-SA-12:07.hostapd [2]
beschäftigt sich mit einer Schwachstelle in HostAP, die es
remoten Angreifern erlaubt, den Service mittels präparierter EAP-TLS-Nachrichten zum Absturz zu bringen. In der
Meldung FreeBSD-SA-12:08.linux [3] schließlich kommt
eine Sicherheitslücke im Kernel zur Sprache, die es lokalen Anwendern erlaubt, sich höhere Rechte am System zu
verschaffen. (fgo)
[1] http://www.freebsd.org/security/advisories/FreeBSDSA-12:06.bind.asc
[2] http://www.freebsd.org/security/advisories/FreeBSDSA-12:07.hostapd.asc
[3] http://www.freebsd.org/security/advisories/FreeBSDSA-12:08.linux.asc
Microsoft hat das Security-Bulletin MS12-046 [1], das
eine Schwachstelle in Visual Basic für Applikationen
aufgreift, aktualisiert, um das Update KB2598361 durch
das Update KB2687626 [2] für Microsoft Office 2003
Service Pack 3 zu ersetzen und ein Problem mit digitalen
Zertifikaten zu beheben, das in der Microsoft-Sicherheitsempfehlung KB2749655 [3] beschrieben ist. (fgo)
Security Newsletter 24/12
Seite 5
Mac OS
Impressum
Microsoft Office für Mac mit Update-Paketen
Verlag:
WEKA MEDIA GmbH & Co. KG
Römerstraße 4, 86438 Kissing
Tel.: 0 82 33.23-40 02
Fax: 0 82 33.23-74 00
http://www.weka.de
Im Zuge der Beseitigung einer Schwachstelle in MS Excel,
die auch die Mac-Version der Tabellenkalkulation betrifft
[1], hat Microsoft Update-Pakete für sein Office für Mac
veröffentlicht. Zum Download bereit stehen das Update für
Office für Mac 2011 14.2.5 [2] und das Update 12.3.5 zu
Office 2008 für Mac [3]. (fgo)
[1] http://technet.microsoft.com/de-de/security/bulletin/ms12-076
[2] http://support.microsoft.com/kb/2764047
[3] http://support.microsoft.com/kb/2764048
Herausgeber:
WEKA MEDIA GmbH & Co. KG
Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als
Kommanditistin:
WEKA Business Information GmbH & Co. KG
und als Komplementär:
WEKA MEDIA Beteiligungs-GmbH
Geschäftsführer:
Stephan Behrens, Michael Bruns, Werner Pehland
Redaktion:
Chefredakteur: Frank Gotta (fgo)
Redakteure: Dr. Matthias Leu (ml), Frank Zinkand (fzi)
redaktion@security-news.de
Erscheinungsweise:
Der Security Newsletter erscheint 14-tägig.
Abonnentenhotline:
info@security-news.de
Tel.: 0 82 33.23-73 23
Fax: 0 82 33.23-72 36
Abonnentenverwaltung:
Kundenservice
Römerstr. 4, 86438 Kissing
Tel.: 0 82 33.23-40 02
Fax: 0 82 33.23-74 00
ISBN: 3-8245-0410-3
Preis und Laufzeit des Abonnements:
Der Abonnementpreis für ein halbes Jahr (mind. 12 Ausgaben)
beträgt 148,00 € (inkl. Versand, zzgl. MWST). Das Abonnement
gilt für ein halbes Jahr (mind. 12 Ausgaben) und verlängert sich
automatisch um ein weiteres halbes Jahr, wenn nicht 4 Wochen
vor Ablauf der Bezugszeit schriftlich gekündigt wird.
Haftung:
Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte
jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche
Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und
Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge
und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des
Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Titel
und alle in ihm enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise,
ist nur mit ausdrücklicher Genehmigung des Verlags und mit
Quellenangabe gestattet.
Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar.
Unter
http://www.weka.de/it-security/10317556-%7Eitsecuritynewsletter%7Efsc_formular.html
haben Sie mit dem aktuellen Freischaltcode hocjoact Zugriff aufs
Archiv.
Seite 6
Security Newsletter 24/12