SECURITY NEWSLETTER
Transcription
SECURITY NEWSLETTER
13.05.13, 45990/Best.-Nr. 410396 SECURITY NEWSLETTER 10 13 Analysen und Lösungen zu aktuellen Gefahren für die Daten- und Netzwerksicherheit Editorial Inhalt Unwissenheit schützt vor Strafe nicht Alle Betriebssysteme Ein Verstoß gegen geltende Gesetze kann für Unternehmen teuer werden – und im Extremfall sogar die Existenz bedrohen. Deshalb ist Compliance, also die systematische Ausrichtung von Unternehmen an rechtlichen Anforderungen zur Vermeidung solcher Risiken, für Großunternehmen längst Alltag. Anders sieht es bei kleinen und mittelständischen Unternehmen aus, die oft über keine eigene Rechtsabteilung verfügen und sich zunächst einmal die Frage stellen müssen, welche Regelungen und Gesetze für sie relevant sind. Mail-Clients von IBM Notes als Unsicherheitsfaktor ...... 1 Security-Update für VMware vCenter Server .................. 2 Sicherheitslücke im Tivoli Storage Productivity Center .. 2 Hitachi bessert Cosminexus nach..................................... 2 „Hier fehlt es häufig noch an Bewusstsein dafür, wie wichtig Compliance für den unternehmerischen Erfolg ist und welche Risiken ein Fehlverhalten bergen kann“, wie Thomas Kriesel vom Branchenverband BITKOM feststellt. Sehr einschneidende Sanktionen werden z.B. im Kartellrecht ausgesprochen. So hat das Bundeskartellamt in einem Fall von unzulässiger Einflussnahme bei der Festlegung des Wiederverkaufspreises für Software bereits ein Bußgeld in Höhe von 9 Millionen Euro verhängt. Unangenehm können auch Klagen von Wettbewerbern wegen unlauterer Geschäftspraktiken oder Vorwürfe wegen unzulässiger Einflussnahme bei der Vergabe öffentlicher Aufträge werden. Hardwarehersteller können bei schwerwiegenden Verstößen gegen Registrierungs- und Entsorgungspflichten sogar die Berechtigung zum Verkauf ihrer Geräte in Deutschland verlieren. Der BITKOM hat deshalb einen kostenlosen Leitfaden „Compliance – Rechtliche Anforderungen an ITK-Unternehmen“ veröffentlicht. In 18 Kapiteln stellt die Broschüre rechtliche Grundanforderungen an ITK-Unternehmen aus verschiedenen Rechtsgebieten dar, wie zum Beispiel Kartell- und Wettbewerbsrecht, Handels- und Steuerrecht, Umweltrecht, Betrugs- und Korruptionsprävention sowie Exportkontrolle. Der Leitfaden kann heruntergeladen werden unter: http://www.bitkom.org/de/publikationen/38337_75247.aspx Frank Gotta Windows McAfee ePolicy Orchestrator erlaubt unbefugte remote Codeausführung ................................................... 3 Serverlösungen von F-Secure mit veralteter DLL ........... 3 Zwei Schwachstellen in IBM AppScan Standard ............ 3 Unix/Linux Neues aus dem Schwachstellen-Blog von Oracle für Solaris ............................................................. 3 Cisco Mehrere Schwachstellen in Cisco-Produkten mit NX-OS ............................................................................. 4 Remote ausnutzbare Sicherheitslücke im Cisco Device Manager ..................................................... 4 Schwachstellen im Cisco Unified Computing System ..... 4 Kurzmeldungen ................................................................ 5 Impressum ........................................................................ 6 Alle Betriebssysteme ■ Mail-Clients von IBM Notes als Unsicherheitsfaktor Betriebssystem Software Angriffe Schutz Linux, Mac OS, Windows IBM Notes 8.0.x, 8.5.x, 9.0 remotes Ausführen von Scriptcode Software-Update Die Mail-Clients von IBM Notes gehen fahrlässig mit Java-Tags in Mails um. (fgo) Chefredakteur Security Newsletter 10/13 Seite 1 Problem Die Mail-Clients von IBM Notes akzeptieren sowohl JavaApplet-Tags als auch JavaScript-Tags, die in HTMLE-Mails eingebettet sind. Angreifer können so den Client dazu bringen, ohne weitere Benutzerinteraktion externe JavaScript-Codes und Java-Applets zu laden und auszuführen [1]. Empfehlung Die Schwachstellen werden mit dem Einspielen der Patches JMOY95BLM6 bzw. JMOY95BN49 geschlossen. Dieser Bugfix ist im kommenden Interim Fix 1 for Notes 8.5.3 Fix Pack 4 sowie im Interim Fix 1 for Notes 9.0 enthalten. Zur Absicherung des Linux-Clients heißt es entweder auf die Fix Packs zu warten oder beim IBMSupport nachzufragen. Auch die Mac-Version des Interims-Fix ist noch nicht verfügbar. Allerdings lassen sich Java und JavaScript per Workaround abschalten. Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21633819 ■ Security-Update für VMware vCenter Server Betriebssystem alle Systeme Software vCenter Server Appliance (vCSA), vCenter Server 5.1 Angriffe Ausführen von Code, Erhöhen von Rechten, Umgehen von Sicherheitsfunktionen, Denial of Service Schutz Software-Update VMware hat Updates für vCenter Server Appliance (vCSA) und vCenter Server unter Windows veröffentlicht, um mehrere sicherheitsrelevante Schwachstellen zu beseitigen [1]. (fgo) Problem Wird diese Schwachstelle erfolgreich ausgenutzt, sind Angreifer in der Lage, sich höhere Rechte am System zu verschaffen [1]. Empfehlung Korrigiert wird diese Schwachstelle durch ein Upgrade auf Tivoli Storage Productivity Center ab 5.1.1 [2]. Alternativ stehen aber auch Interim-Fixes zur Verfügung. Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21635958 [2] https://www-304.ibm.com/support/docview.wss?uid=swg21320822 ■ Hitachi bessert Cosminexus nach Betriebssystem Windows, Linux, AIX, HP-UX, Solaris Software Hitachi Cosminexus HTTP Server, Hitachi Web Server, Hitachi Cosminexus Angriffe remotes Ausführen von Code, Denial of Service, Manipulation von Dateien, Cross-Site Scripting, Zugriff auf sensible Daten Schutz Software-Update Hitachi hat diverse Fehler in Cosminexus bzw. in den Servern Cosminexus HTTP Server und Hitachi Web Server korrigiert. (fgo) Problem 1. Das Cosminexus Developer’s Kit for Java enthält zahlreiche Schwachstellen, die über ein Update revidiert werden [1]. 2. Im Cosminexus HTTP Server und im Hitachi Web Server liegt eine remote ausnutzbare Sicherheitslücke in der SSL-Implementierung vor [2]. Problem Zahlreiche der Schwachstellen resultieren aus Fehlern in der eingesetzten Version von Tomcat. Zweimal ist die Java Runtime Environment (JRE) Ursache der Sicherheitslücken. Eine LDAP-Schwachstelle, die nur die WindowsVersion der Software betrifft, erlaubt das Erweitern von Rechten. 3. Die SSL-Verschlüsselung weist eine weitere Sicherheitslücke auf, die eine Aufweichung der Sicherheitsfunktionen erlaubt [3]. Empfehlung Zur Problemlösung steht Center Server 5.1 Update 1 zum Download [2] zur Verfügung. Empfehlung Informationen zu den entsprechenden fehlerkorrigierten Versionen liefert der Hitachi Support Service. Information [1] http://www.vmware.com/security/advisories/VMSA-2013-0006.html [2] https://downloads.vmware.com/d/info/datacenter_clou d_infrastructure/vmware_vsphere/5_1 Information [1] http://www.hitachi.co.jp/Prod/comp/soft1/global/securi ty/info/vuls/HS13-010/index.html [2] http://www.hitachi.co.jp/Prod/comp/soft1/global/securi ty/info/vuls/HS13-009/index.html [3] http://www.hitachi.co.jp/Prod/comp/soft1/global/securi ty/info/vuls/HS13-008/index.html [4] http://www.hitachi.co.jp/Prod/comp/soft1/global/securi ty/info/vuls/HS13-007/index.html ■ Sicherheitslücke im Tivoli Storage Productivity Center Betriebssystem Alle Systeme Software Tivoli Storage Productivity Center 5.1.0 Angriffe Erhöhen von Rechten Schutz Software-Update 4. Bei aktiviertem Status Viewer existiert in den beiden Servern auch eine Cross-Site-Scripting-Schwachstelle [4]. Die Clients des Tivoli Storage Productivity Center 5.1.0 sind anfällig für eine Schwachstelle, die aus einem Fehler im verwendeten WebSphere Application Server resultiert. (fgo) Seite 2 Security Newsletter 10/13 Windows ■ McAfee ePolicy Orchestrator erlaubt unbefugte remote Codeausführung Betriebssystem Windows Software McAfee ePolicy Orchestrator 4.5.x und 4.6.x Angriffe remotes Ausführen von Code, Directory Traversal, Zugriff auf sensible Informationen Schutz Software-Update In der Sicherheitsmanagement-Software McAfee ePolicy Orchestrator (ePO) liegen zwei Schwachstellen vor, von denen eine äußerst schwerwiegende Angriffe erlaubt [1]. (fgo) Problem 1. Remoten Angreifern ist es möglich, eigene Agenten auf dem ePO-Server zu registrieren, um auf sensible Informationen zuzugreifen, Administrator-Accounts für Webkonsolen einzurichten oder Code mit Systemrechten auszuführen. 2. Über einen manipulierten Agenten lassen sich Directory-Traversal-Attacken durchführen, um beispielsweise remote Schadsoftware auf den Server zu laden. Empfehlung Die korrigierte Version ePO 4.5.7 soll ab Mitte Mai verfügbar sein, bis dahin kann man sich mit dem jetzt schon bereitstehenden Patch 6 für ePO 4.5 als Hotfix behelfen. Für die 4.6er-Version bereits erhältlich ist die Version ePO 4.6.6, in der laut McAfee die Sicherheitslücken geschlossen wurden. Information [1] https://kc.mcafee.com/corporate/index?page=content&id=SB10042 ■ Serverlösungen von F-Secure mit veralteter DLL Betriebssystem Windows Software F-Secure Anti-Virus for Microsoft Exchange Server 9.x, Anti-Virus for Windows Servers 9.x, Anti-Virus for Citrix Servers 9.x, Email and Server Security 9.20, Server Security 9.20, Lösungen auf Basis von F-Secure Protection Service for Business Email and Server Security 9.20 sowie Protection Service for Business Server Security 9.20 Angriffe remotes Ausführen von Code Schutz Software-Update Eine veraltete DLL, die für die Schutzlösungen von F-Secure zum Einsatz kommt, bietet Angreifern die Chance zur Codeausführung [1]. (fgo) Problem Wenn der Internet Explorer eingesetzt wird, erlaubt eine einem ActiveX-Control zugeordnete DLL unbefugte Verbindungen zu einem ODBC-Treiber. Wenn ein Server die lokale Authentifizierung einsetzt, ist ein Angreifer in der Lage, unbefugt SQL-Kommandos abzusetzen, die ausgeführt werden. Security Newsletter 10/13 Empfehlung Der Hersteller hat Bugfixes für die betroffenen Produkte veröffentlicht. Information [1] http://www.f-secure.com/en/web/labs_global/fsc-2013-1 ■ Zwei Schwachstellen in IBM AppScan Standard Betriebssystem Windows Software AppScan Standard 7.8 bis 8.5.0.1 Angriffe Ausführen von Code, Erhöhen von Berechtigungen, Denial of Service, Zugriff auf sensible Daten Schutz Software-Update IBM Security AppScan Standard weist zwei sicherheitsrelevante Fehler auf [1]. (fgo) Problem 1. AppScan Standard erlaubt das Scannen von Sites mit ungültigen Zertifikaten, die eigentlich ignoriert werden müssten. So ist es möglich, dass Verbindungen zu unsicheren Seiten aufgebaut werden. 2. Die in AppScan Standard eingesetzte Java-Version 6.0 weist zahlreiche Schwachstellen auf, die im schwerwiegendsten Fall die remote Codeausführung erlauben. Empfehlung Korrigiert werden die Fehler durch ein Upgrade auf IBM Security AppScan Standard 8.6. Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21609022 Unix ■ Neues aus dem Schwachstellen-Blog von Oracle für Solaris Betriebssystem Solaris 10, 11.1 Software Apache Ant, Samba Web Administration Tool (SWAT) Angriffe Denial of Service, Cross-Site Request Forgery, Manipulation des Systems Schutz Software-Update Der Third Party Vulnerability Resolution Blog von Oracle führt neue Schwachstellen in Software auf, die unter Solaris zum Einsatz kommt. (fgo) Problem 1. In Apache Ant liegt eine Sicherheitslücke vor, die auf einem Fehler im Sortieralgorithmus in der bzip2-Komprimierung resultiert und durch Beanspruchung der gesamten CPU-Leistung DoS-Attacken erlaubt [1]. 2. Zwei Schwachstellen im Samba Web Administration Tool (SWAT) erlauben es remoten Angreifern, Änderungen an den Samba-Einstellungen zu initiieren bzw. Scripts im Browser eines Benutzers auszuführen [2]. Empfehlung Über die jeweiligen Einträge im Third Party Vulnerability Resolution Blog sind die Links zu den bereitgestellten Updates verfügbar. Seite 3 Information [1] https://blogs.oracle.com/sunsecurity/entry/algorithmic _complexity_vulnerability_in_apache [2] https://blogs.oracle.com/sunsecurity/entry/multiple_vul nerabilities_in_samba_web Cisco ■ Mehrere Schwachstellen in Cisco-Produkten mit NX-OS Betriebssystem Cisco NX-OS Software Cisco Unified Computing Server Fabric Interconnect 6100 und 6200 Series; Cisco Nexus 1000v, 3000, 4000, 5010, 5020, 5500, 6000, 7000 Series; Cisco MDS 9000 Multilayer Switch/Director; Cisco Connected Grid Router 1000 Series Angriffe remotes Ausführen von Code, Denial of Service Schutz Software-Update Cisco-Produkte, die das Betriebssystem Cisco NX-OS nutzen, sind für mehrere Fehler anfällig, die im schwerwiegendsten Fall die remote Codeausführung erlauben. (fgo) Problem Insgesamt führt das Advisory cisco-sa-20130424-nxosmulti [1] vier Sicherheitslücken auf, wobei nicht alle aufgeführten Produkte alle Fehler aufweisen. Die möglichen Folgen von Angriffen sind durchaus schwerwiegend; so erlauben Pufferüberläufe Angreifern die remote Ausführung beliebiger Befehle mit erweiterten Rechten. Eine weitere Schwachstelle lässt sich zu DoS-Attacken missbrauchen. Empfehlung Der Hersteller hat fehlerkorrigierte, neue Versionen der Betriebssystemsoftware zum Download bereitgestellt. Information [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20130424-nxosmulti ■ Remote ausnutzbare Sicherheitslücke im Cisco Device Manager Betriebssystem Cisco MDS 9000 und Cisco Nexus 5000 Software Cisco Device Manager 5.x und früher Angriffe remotes Ausführen von Code Schutz teilweise Software-Update Der Cisco Device Manager weist eine Schwachstelle auf, die es einem nicht authentifizierten Angreifer über das Netzwerk erlaubt, unbefugt beliebige Befehle auszuführen [1]. (fgo) Problem Beim Laden von Dateien im Format Java Archive (JAR) werden via JNLP für die Installation des Cisco Device Manager übergebene Parameterinhalte nicht ausreichend überprüft, bevor element-manager.jnlp sie weitergibt. Remote, nicht am System authentifizierte Angreifer können diese Schwachstelle ausnutzen, um beliebige Befehle mit den Rechten des Benutzers auszuführen. Seite 4 Empfehlung Die Schwachstelle wurde im Cisco Device Manager für Cisco-MDS-9000-Switches ab Version 5.2.8 behoben. Bei den Cisco-Nexus-5000-Series-Switches gibt es herstellerseitig keinen Support für die Installation des Cisco Device Manager über eine JNLP-Datei mehr. Kunden sollten laut Cisco Prime DCNM nutzen, um den Switch zu managen. Information [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20130424-fmdm ■ Schwachstellen im Cisco Unified Computing System Betriebssystem Cisco Software Cisco Unified Computing System 6100 Series Fabric Interconnect, Cisco Unified Computing System 6200 Series Fabric Interconnect, Cisco Unified Computing System Cisco Integrated Management Controllers Angriffe remotes Ausführen von Code, Denial of Service, Umgehen von Sicherheitsfunktionen, Zugriff auf Informationen Schutz Software-Update Installationen des Cisco Unified Computing System (UCS) können eine oder auch mehrere teilweise schwerwiegende sicherheitsrelevante Fehler aufweisen [1]. (fgo) Problem 1. Für remote Angreifer ist die Umgehung der LDAPAuthentifizierung möglich. Das erlaubt den Zugriff auf die Webkonsole ohne gültigen Account. 2. Ein möglicher Pufferüberlauf im Intelligent Platform Management Interface (IPMI) kann von einem Angreifer mit Zugriff auf UDP-Port 623 missbraucht werden, um beliebigen Code auszuführen. 3. Im Management-API existiert eine Schwachstelle, über die ein remoter Angreifer auch ohne Authentifizierung über eine manipulierte Anfrage einen Denial of Service provozieren kann. 4. Ein Fehler bei der Umsetzung der Authentifizierung erlaubt es Angreifern ohne entsprechende Rechte, über das Webinterface auf Dateien aus dem Bereich „Technischer Support“ oder auf lokale Backup-Dateien zuzugreifen. 5. Für Angreifer, die Zugriff auf die KVM-Konsole haben, ist eine Umgehung der Authentifizierung für „IP Keyboard, Video, Mouse“ (KVM) möglich. Empfehlung Von Cisco werden fehlerbereinigte Software-Versionen zur Verfügung gestellt. Information [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20130424-ucsmulti Security Newsletter 10/13 Kurzmeldungen Windows Alle Betriebssysteme Microsoft aktualisiert Security-Update aus MS13-036 VMware aktualisiert Advisories VMware hat drei seiner bereits veröffentlichten Advisories aktualisiert. In VMSA-2012-0018 [1], das mehrere Schwachstellen in VMware vCenter Server Appliance (vCSA) und ESXi aufgreift, wurde die Zuordnung des Patch für ESXi 5.1 berichtigt. Das Advisory VMSA-20130001 [2] wurde um die Angabe eines Links zum korrigierenden Update für ESXi 5.1 ergänzt, das jetzt verfügbar ist. Gleiches gilt für VMSA-2013-0004 [3] zu einer Sicherheitslücke in der von VMware ESXi verwendeten Bibliothek libxml2. Zudem sind hier Updates für ESXi und ESX 4.1 verfügbar. (fgo) [1] http://www.vmware.com/security/advisories/VMSA-2012-0018.html [2] http://www.vmware.com/security/advisories/VMSA-2013-0001.html [3] http://www.vmware.com/security/advisories/VMSA-2013-0004.html Schwachstellen in populären WordPressPlug-ins Die beiden WordPress-Plug-ins, über die PHP-Seiten gecacht werden, WP Super Cache 1.2 und früher sowie W3 Total Cache 0.9.2.8 und früher, weisen eine Schwachstelle auf, die es remoten Angreifern erlaubt, Code auf einem betroffenen Zielserver auszuführen [1]. Abhilfe schafft das Einspielen der aktualisierten und fehlerbereinigten Versionen WP Super Cache ab 1.3.1 [2] bzw. W3 Total Cache 0.9.2.9 [3]. (fgo) [1] http://www.acunetix.com/blog/web-security-zone/wpplugins-remote-code-execution/ [2] http://wordpress.org/extend/plugins/wp-super-cache/changelog/ [3] http://wordpress.org/extend/plugins/w3-total-cache/changelog/ Offene Schwachstelle in Java Adam Gowdiak weist auf eine Schwachstelle in der Reflection-API der aktuellen Java Standard Edition 7 1.7.0_21-b11 sowie im JRE-Server hin, die es erlaubt, die Absicherung über die Sandbox zu umgehen. Laut eigenen Aussagen hat Gowdiak die Sicherheitslücke einschließlich weiterführender Informationen an Oracle gemeldet [1]. (fzi) [1] http://seclists.org/fulldisclosure/2013/Apr/194 JRE-Fehler im IBM Tivoli Federated Identity Manager Business Gateway Eine Sicherheitslücke im Java Runtime Environment (JRE) der genutzten WebSphere-Installation tangiert das IBM Tivoli Federated Identity Manager Business Gateway in den Versionen 6.1.1, 6.2.0, 6.2.1 und 6.2.2. Ausgenutzt werden kann der Fehler zu Denial-of-Service-Attacken [1]. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21621887 Denial-of-Service-Schwachstelle im Citrix XenServer Im Citrix XenServer 5.x und 6.x liegt eine Schwachstelle im Syscenter vor, die es unprivilegierten Anwendern auf einem virtuellen Gast-System erlaubt, auf dem Host einen Denial of Service zu provozieren [1]. Citrix stellt zur Fehlerkorrektur Hotfixes für die diversen unterstützten Versionen von XenServer zur Verfügung. (fgo) [1] http://support.citrix.com/article/CTX137478 Security Newsletter 10/13 Microsoft hat das Sicherheitsupdate 2823324, das ursprünglich über das Security-Bulletin MS13-036 [1] verteilt wurde, durch das Update 2840149 [2] ersetzt. Fehler im ursprünglichen Update NTFS.sys haben bei einigen Systemen unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 nach dem Einspielen dafür gesorgt, das die betroffenen Systeme Schwierigkeiten beim Reboot hatten. (fgo) [1] http://technet.microsoft.com/security/bulletin/ms13-036 [2] https://support.microsoft.com/kb/2840149 Novell iPrint Client mit Pufferüberlauf Im Novell iPrint Client for Windows liegt eine Schwachstelle in Form eines potenziellen Stack-basierten Pufferüberlaufs vor, die es remoten Angreifern erlaubt, eigenen Code auf einem Zielsystem auszuführen [1]. Korrigiert ist der Fehler im aktuellen Patch iPrint Client for Windows XP/Vista/Win 7/Win 8 5.90, der zum Download [2] zur Verfügung steht. (fgo) [1] http://www.novell.com/support/kb/doc.php?id=7012344 [2] http://download.novell.com/Download?buildid=k6yH0sy992E%7E XSS-Sicherheitslücke in HP Managed Printing Administration In der HP Managed Printing Administration (MPA) Version 2.6.x und früher liegt eine Cross-Site-ScriptingSchwachstelle vor [1]. Korrigiert wird der Fehler durch das Einspielen der HP Managed Printing Administration 2.7.0. (fgo) [1] https://h20566.www2.hp.com/portal/site/hpsc/public/k b/docDisplay?docId=emr_na-c03737200 Unix FreeBSD: remote ausnutzbare Schwachstelle im NFS-Server Alle aktuellen Versionen von FreeBSD weisen eine schwerwiegende Sicherheitslücke im integrierten NFS-Server auf, die sich remote ausnutzen lässt. Der Fehler tritt bei der Verarbeitung von READDIR-Anfragen auf und erlaubt es abhängig von den Rahmenbedingungen, den Heap-Speicher zu korrumpieren, beliebige Daten in den Stack zu schreiben oder auch beliebige Befehle im Kernel-Mode auszuführen [1]. Zur Korrektur stehen fehlerfreie Versionen bzw. Patches zur Verfügung. (fgo) [1] http://www.freebsd.org/security/advisories/FreeBSDSA-13:05.nfsserver.asc EMC NetWorker erlaubt Rechteerhöhung In EMC NetWorker 7.6.5.2 und früher sowie 8.0.1.3 und früher existiert eine Schwachstelle im nrspush-Prozess des NetWorker-Clients, über die sich ein lokaler, nicht autorisierter Angreifer mit Zugriff auf das Dateisystem höhere Rechte verschaffen kann [1]. Beseitigt wurde der Fehler in den Versionen ab 7.6.5.3 bzw. 8.0.1.4 von EMC NetWorker. (fgo) [1] https://www.auscert.org.au/render.html?it=17484 Seite 5 Höhere Rechte durch Bug im HP Data Protector Impressum Der unter HP-UX, Solaris und Linux eingesetzte HP Storage Data Protector in den Versionen 6.2x und 7.0x besitzt eine lokal ausnutzbare Sicherheitslücke, die Anwendern eine nicht erlaubte Erhöhung ihrer Rechte am System einräumt. HP stellt für HP Data Protector 6.20 und 6.21 den Patch DPLNX_00246 und für HP Data Protector 7.00 und 7.01 den Patch DPLNX_00245 zum Download [2] bereit. (fgo) [1] https://h20566.www2.hp.com/portal/site/hpsc/public/k b/docDisplay?docId=emr_na-c03570121 [2] http://support.openview.hp.com/selfsolve/patches Verlag: WEKA MEDIA GmbH & Co. KG Römerstraße 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 http://www.weka.de Cisco Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland SQL-Injection-Bug im Cisco Network Admission Control Manager Redaktion: Chefredakteur: Frank Gotta (fgo) Redakteure: Dr. Matthias Leu (ml), Frank Zinkand (fzi) redaktion@security-news.de Eine Schwachstelle im Cisco Network Admission Control (NAC) Manager vor Version 4.8.3.1 und vor 4.9.2 erlaubt Angreifern den unbefugten Zugriff auf die Datenbank des Systems. Ursache ist eine ungenügende Filterung von übermittelten Eingabedaten. So können Angreifer ohne Authentifizierung SQL-Befehle absetzen und ausführen lassen [1]. Korrigiert wurde der Fehler im NAC Manager ab 4.8.3.1 bzw. 4.9.2. Diese Versionen stehen zum Download [2] bereit. (fgo) [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20130417-nac [2] http://software.cisco.com/download/navigator.html?m dfid=279515766&i=rm DoS-Schwachstelle in der Cisco TelePresence Infrastructure Die Cisco TelePresence MCU MSE 8510 Version 4.3(2.18) und früher, MCU 4501 Series, MCU 4500 Series sowie Cisco TelePresence Server Version 2.2(1.54) und früher weisen eine remote ausnutzbare Schwachstelle auf, die es nicht am System authentifizierten Angreifern erlaubt, einen Reload des Systems und durch Wiederholung des Angriffs einen Denial of Service zu provozieren. Ausgelöst werden kann das Fehlverhalten durch manipulierte H.264-Daten. Korrigiert wird diese Sicherheitslücke durch das Einspielen der neuen Versionen Cisco TelePresence MCU ab 4.3(2.30) bzw. Cisco TelePresence Server ab Version 2.3(1.55). Diese stehen zum Download zur Verfügung. (fgo) [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20130417-tpi Herausgeber: WEKA MEDIA GmbH & Co. KG Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin: WEKA Business Information GmbH & Co. KG und als Komplementär: WEKA MEDIA Beteiligungs-GmbH Erscheinungsweise: Der Security Newsletter erscheint 14-tägig. Abonnentenhotline: info@security-news.de Tel.: 0 82 33.23-73 23 Fax: 0 82 33.23-72 36 Abonnentenverwaltung: Kundenservice Römerstr. 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 ISBN: 3-8245-0410-3 Preis und Laufzeit des Abonnements: Der Abonnementpreis für ein halbes Jahr (mind. 12 Ausgaben) beträgt 148,00 € (inkl. Versand, zzgl. MWST). Das Abonnement gilt für ein halbes Jahr (mind. 12 Ausgaben) und verlängert sich automatisch um ein weiteres halbes Jahr, wenn nicht 4 Wochen vor Ablauf der Bezugszeit schriftlich gekündigt wird. Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Titel und alle in ihm enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar. Unter http://www.weka.de/it-security/10317556-%7Eitsecuritynewsletter%7Efsc_formular.html haben Sie mit dem aktuellen Freischaltcode vinicugg Zugriff aufs Archiv. Seite 6 Security Newsletter 10/13