MARE system :: News

2010-07-19 Inhalt: Kritische Windows-Lücke bei der Verarbeitung von LNK-Dateien Am Donnerstag berichtete das US-CERT[1] über eine schwere Lücke im Windows-Betriebssystem. Durch einen Fehler in der Verarbeitung von Verknüpfungen (.lnk-Dateien) startet ohne weiteres Zutun des Anwenders Schadcode, allein durch Anzeige des dazugehörigen Icons etwa im Windows Explorer. Die Lücke betrifft alle Windows-Versionen seit Windows XP, auch die Serverversionen; wann Microsoft einen Patch zur Verfügung stellen wird, ist momentan nicht bekannt. Microsoft hat die Lücke mittlerweile bestätigt und einen ersten Workaround veröffentlicht[3], auch das SANS ISC gibt Workaround-Empfehlungen[2]. Laut Heise wird die Lücke von Trojanern/Malware aktiv ausgenutzt, Antivirensoftware ist bei dieser Art der Lücke quasi chancenlos. [1] http://www.us-cert.gov/current/index.html#microsoft_windows_lnk_vulnerability [2] http://isc.sans.edu/diary.html?storyid=9181 [3] http://www.microsoft.com/technet/security/advisory/2286198.mspx [4] http://www.heise.de/security/meldung/Neue-Windows-Luecke-schlaegt-weitere-Wellen-1039763.html

folgende Updates gab es im Mai: Notfallkoffer/Security CheatSheets: Critical Log Review Checklist for Security Incidents Cheatsheet SIC: Reading-Room mit ausgewählten Blogs und News (incl. RDF-Stream) SIC: CVSS - Calculator (CVE-basiertes Common Vulnerability Scoring System)

"Eingebettet in den LinuxTag, findet dieses Jahr die erste Mini-Debian-Konferenz (MiniDebConf) am 10./11.06.(Do/Fr) auf dem Messegelände Berlin statt. Es wird Vorträge geben sowie ein - auch Nachts geöffnetes - Hackcenter, um die Veröffentlichung von Debian 6 voranzutreiben. Der persönliche Kontakt zu den Entwicklern und vielfältige Möglichkeiten sein Wissen auszutauschen machen die MiniDebConf 2010 zu einem interessanten und wertvollen Event für alle Debian Anwender." > Link zur Webseite mit Programm und Infos MARE system setzt seit Jahren die auf Stabilität und Sicherheit ausgerichtete Linux-Distribution GNU/Debian ein und unterstützt die MiniDebConf als Silver-Sponsor. Danke, Debian!

Zwei Nagios-Plugins (check_snort, check_xmpp) wurden im Portal MonitoringExchange veröffentlicht. weitere Infos

2010-03-29 Inhalt: :: SSL - Server und Client - DOS :: Facebook will Nutzerdaten automatisch weitergeben Präparierte TLS-Pakete können einen OpenSSL-Server oder -Client zum Absturz bringen. Ursache ist ein Fehler in der Funktion ssl3_get_record() zur Verarbeitung von SSL-Records. In SSL-Records werden die Daten zwischen den Endpunkten übertragen. Falsch formatierte Records führen laut Bericht der OpenSSL-Entwickler zu einem Speicherzugriffsfehler.[1][2] Anwender des aktuellen Debian/Stable sind nicht betroffen[3], der Fehler tritt in den OpenSSL-Versionen 0.9.8f bis 0.9.8m auf. [1] http://openssl.org/news/secadv_20100324.txt [2] http://www.heise.de/security/meldung/Record-of-Death-legt-OpenSSL-Server-lahm-965773.html [3] http://security-tracker.debian.org/tracker/CVE-2010-0740 Facebook will Nutzerdaten automatisch weitergeben In einem Vorschlag zur Neufassung seiner Datenschutzregeln kündigt Facebook an, Kundendaten an "überprüfte" (pre-approved) Websites und Anwendungen Dritter weiterzuleiten. Dazu sei das Unternehmen "gezwungen", um seinen Nutzern "die Möglichkeit zu geben, auch außerhalb von Facebook nützliche Erfahrungen im sozialen Bereich machen zu können." Die "betreffenden Webseiten und Anwendungen (müssen), ein Zulassungsverfahren ... durchlaufen" und gesonderte Vereinbarungen zum Schutz der Privatsphäre unterzeichnen. [4] [4] http://www.heise.de/newsticker/meldung/Facebook-will-Nutzerdaten-automatisch-weitergeben-965524.html

2010-03-16 Inhalt: :: Spamassassin Milter-Plugin Remote Code Execution Im Milter-Plugin des vielfach eingesetzten Spam-Filters Spamassassin wurde ein kritische Sicherheitslücke entdeckt, mit der ein Angreifer beliebige Befehle mit den Rechten des Mailservers/Spamfilters ausführen kann[1]. Dazu wird eine besonders formatierte Mail an den Mailserver gesandt, die beim Filtern die versteckten Befehle ausführt. Es sind bereits Berichte aufgetaucht, das die Lücke aktiv ausgenutzt wird[2], der Entdecker der Lücke hat einen Exploit dazu veröffentlicht[3]. Unter [4] stellen wir weitere Infos, Workarounds und ein Testscript zum Mailservertest zur Verfügung. [1] http://seclists.org/fulldisclosure/2010/Mar/140 [2] http://isc.sans.org/diary.html?storyid=8434 [3] http://seclists.org/fulldisclosure/2010/Mar/264 [4] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin1003-spamassassin_milter

2010-02-15 Inhalt: :: Probleme nach Microsoft-Update / XP-Crash und BSOD Nach dem Mega-Patchday[4][5] vom letzten Dienstag, vom ISC sinnigerweise als "Black Tuesday" beschrieben[1], haben einige Microsoft-Workstations unter XP mit dem Blue Screen of Death (BSOD) zu kämpfen[2][3][7]. Grund ist anscheinend eine fehlerhafte Treiberdatei, momentan mehren sich die Stimmen[2][6], das dieses Problem durch eine Rootkit-Infizierung der betreffenden Clients entsteht. Weitere Updates: Research@Dogtown Links: [1] - http://isc.sans.org/diary.html?storyid=8197 [2] - http://isc.sans.org/diary.html?storyid=8209 [3] - http://isc.sans.org/diary.html?storyid=8215 [4] - http://www.microsoft.com/technet/security/bulletin/ms10-feb.mspx [5] - http://www.heise.de/security/meldung/Weiterhin-Luecken-trotz-Microsofts-Riesen-Patch-Serie-Update-926161.html [6] - http://www.golem.de/1002/73115-rss.html [7] - http://www.heise.de/security/meldung/Sicherheits-Update-von-Microsoft-fuehrt-zu-Bluescreen-928926.html

Mitglieder des OWASP-Projektes und weitere namhafte Security-Spezialisten haben ein Manifest und eine neue Plattform geschaffen, um Software für die Anforderungen durch neue Bedrohungen robust zu machen. Den Wortlaut dieses Manifests, eine deutsche Übersetzung und weitere Links und Informationen gibt es unter rugged-software-manifest.html

2010-02-07 Inhalt :: Lücke im Fileserver Samba ermöglicht Auslesen beliebiger Dateien Auf der Mailinglist Fulldisclosure wurde ein Exploit gezeigt und veröffentlicht, der es einem entfernen Angreifer ermöglicht, beliebige Dateien auf dem Server auszulesen[1][2]. Benötigt wird dafür entweder ein Account auf dem Samba-Server oder ein Samba-Share mit Gastzugang und Schreibzugriff. Das Samba-Team hat ein Advisory veröffentlicht[3], indem eine Möglichkeit beschrieben wird, die Lücke per smb.conf- Option zu schliessen: die Anweisung wide links = no in der Section [global] verhindert, das die Lücke ausgenutzzt werden kann. Diese Option ist in vielen Samba-Default-Installation nicht gesetzt. Betroffen sind die aktuelle Version 3.4.5 und wahrscheinlich alle vorhergendenden Versionen.[4] Links: [1] http://seclists.org/fulldisclosure/2010/Feb/82 [2] http://seclists.org/fulldisclosure/2010/Feb/99 [3] http://www.samba.org/samba/news/symlink_attack.html [4] http://www.heise.de/security/meldung/Schwachstelle-in-Samba-ermoeglicht-Zugriff-auf-Dateien-Update-924142.html

2009-11-25 Inhalt: :: 1und1 - ungepatchter Installationskernel in Suse-11-Rootserverinstallation Der Hoster 1&1 installiert auf Rootservern mit Suse-11 eigene Kernel, für die keine Updates via Yast-Online/Autoupdate eingeflegt werden können.[1] Kernelupdates erfolgen nur, wenn die Betreiber der Rootserver manuell entweder neue Kernelimages von update.onlinehome-server.info herunterladen und via Yast installieren, eigene Kernel kompilieren oder den Suse-Standardkernel installieren. Auf Nachfrage von heise wird 1und1 die Dokumentationen überarbeiten und deutlicher auf den Sonderfall bei openSuse 11 sowie auf den Fundort für aktuelle Kernel-Dateien hinweisen.[2] Updates und weitere Infos zu dieser Meldung gibt es unter [3] [1] http://dogtown.mare-system.de/doku.php?id=research:advisories:2009-1und1-kernel [2] http://www.heise.de/security/meldung/openSuse-Kernel-auf-1-1-Root-Servern-moeglicherweise-veraltet-869583.html [3] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin0911-1und1_kernel

Im Rahmen der Howto-Reihe Arbeiten mit Snort können sich Interessierte und Einsteiger den Artikel Trüffelschwein: Intrusion Detection System Snort im Einsatz ansehen, der einen Überblick gibt über das IDS, dessen Funktionen, Einstell- und Tuningmöglichkeiten an verschiedene Netze sowie Log-Output in Datenbanken, Alertanalyse via BASE und Updates mit Oinkmaster kurz erläutert.

2009-11-16 Inhalt: :: Schwachstelle im SSL/TLS-Protokoll macht MITM-Attacken und Ausspähen von Daten möglich Am 4.11. veröffentlichten Marsh Ray und Steve Dispensa ein Dokument[1], in dem eine Designschwachstelle des Verschlüsselungsprotokolls SSL/TLS beschrieben wurde, mit der Man in The Middle - Attacken und damit das Ausspähen sensitiver Daten möglich sind[2][3]. Eine bildhafte Erklärung zu dieser Schwachstelle liefert Theirry Zoller in seinem Blog[4] Am 6.11. lieferte das OpenSSL-Projekt einen Fix (0.9.8l), der aber nicht die Schwachstelle behebt sondern einige Protokoll-Features abschaltet[5][6][7]. Serverbetreibern, die mit SSL und Client-Zertifikaten arbeiten, ist dringlichst anzuraten, die in den Distributionen verfügbaren Patches[7] ausgiebig mit Clientanwendungen zu testen, bevor die Sicherheitspatches auf Produktivsystemen ausgerollt werden. weitere Updates [1] http://extendedsubset.com/?p=8 [2] http://www.heise.de/security/meldung/Schwachstelle-im-SSL-TLS-Protokoll-851104.html [3] http://www.heise.de/security/meldung/Passwortklau-durch-Schwachstelle-im-SSL-TLS-Protokoll-860067.html [4] http://blog.g-sec.lu/2009/11/tls-sslv3-renegotiation-vulnerability.html [5] http://isc.sans.org/diary.html?storyid=7543 [6] http://www.heise.de/security/meldung/OpenSSL-fixt-TLS-Schwachstelle-853177.html [7] http://seclists.org/bugtraq/2009/Nov/113 [8] http://blog.ivanristic.com/2009/11/initial-test-for-ssl-renegotiation-added-to-ssl-labs.html

2009-11-12 Inhalt: :: Linux Kernel Null-Pointer Dereference Bugs :: Windows Server 2008R2 Remote Kernel Crash / Remote Code Execution Die in letzter Zeit[1] publizierten Null-Pointer Dereference Bugs im Linux-Kernel, die zu Abstürzen von Diensten oder zu Rootrechten führen können[2] und für die auch schon Exploits zur Verfügung stehen[3], lassen sich, so man eine aktuelle Version einsetzt, recht einfach umgehen, indem man ein Kernel-Feature (mmap_min_addr) nutzt, dessen Werte einfach auf der Kommandozeile gesetzt werden können. Eine ausführlich Anleitung dazu und Infos zu betroffenen Distributionen gibt der Link unter[4]. Laurent Gaffié hat in seinem Blog[5] eine kritische Sicherheitslücke im Windows Server 2008R2 veröffentlich, die zum kompletten Einfrieren des Servers führt. Ein Patch ist noch nicht verfügbar. Update 2009-11-13 Microsoft hat ein Advisory[6] zu dem Problem veröffentlicht, in dem zwar bestätigt wird, das Microsoft ein Problem untersucht, ausser Beschwichtigungen aber keine Infos weiteren zu finden sind. Indirekt wird aber die Existenz einer Sicherheitslüücke zugegeben: "Microsoft is investigating new public reports of a possible denial of service vulnerability in the Server Message Block (SMB) protocol. ... However, Microsoft is aware that detailed exploit code has been published for the vulnerability." In den weiter unten zu findenden Q&A ist dann aber doch von einem Problem die Rede: Das Internet Strom Center hat einen FAQ/Artikel[7] mit umfangreichen Informationen zur Lücke, zum Exploit und betroffenen Windows-Versionen online gestellt, der regelmäßig mit neuen Infos versehen wird. [1] http://www.mare-system.de/sic/index.cgi?search=linux%25kernel%25null%25pointer%25dereference [2] http://lwn.net/Articles/347006/ [3] http://www.securityfocus.com/bid/36038 [4] how to avoid that nasty nullpointer dereference bugs in linux kernel [5] http://g-laurent.blogspot.com/2009/11/windows-7-server-2008r2-remote-kernel.html [6] http://www.microsoft.com/technet/security/advisory/977544.mspx [7] http://isc.sans.org/diary.html?storyid=7573

iNag ist eine iPhone-Application, mit der man komfortabel den Status eines Nagios-Server ansehen kannn. Neben dem Anzeigen der Stati kann man auch Host/Service-Probleme acknowledgen. mehr Infos und Screenshots hier

Inhalt: :: Umbenennung der Emerging-Threats-Regelsätze Am Freitag, den 2. Oktober 05:01 MESZ [00:01 EST (GMT +5)] werden einige Dateien aus den ET-Regelsätzen umbenannt, vor allem die Bereiche WEB und VIRUS/MALWARE werden neu zusammengefasst. Weitere Infos geben die unten stehende Email, die offizielle Ankündigung auf der ET-Webseite [1] und die Diskussion auf der emerging-sigs-mailingliste [2] [1] http://emergingthreats.net/index.php/component/content/article/17-sigs/203-rule-file-change-coming.html [2] http://lists.emergingthreats.net/pipermail/emerging-sigs/2009-September/003866.html -------- Original Message -------- Subject: [Emerging-Sigs] Rule Change Official Notice Date: Fri, 25 Sep 2009 15:25:45 -0400 From: Matt Jonkman To: Emerging Threats Signatures WE'RE MAKING A CHANGE TO THE ORGANIZATION OF THE RULESET!! YOU WILL HAVE TO UPDATE YOUR CONFIG!!! Trying to get everyone's attention. Are you here now? Thanks for taking a minute to read this. You'll be glad you did. We are just about to cross signature ID 2010000, that's ten thousand signatures come and gone (we have about 7,500 active at the moment). There are a few categories that have bloated and some more granular organization will be of a benefit to all of us. So we're going to take this opportunity to do the following. These changes will come into effect at 00:01EST (GMT + 5) October 2, 2009. That's just under one week from now. So please be prepared, you'll have to update your snort configuration to keep using the same rules, they'll be in different files. 1. Rules in CURRENT_EVENTS currently drop into emerging.rules. We will no longer do this, and add the file emerging-current_events.rules. 2. The WEB category will be subdivided and the WEB_SPECIFIC will be renamed. This is for easier disabling or enabling of client and server based rules. The new files will be: emerging-web_client.rules These will be the activex and other browser and client exploits. emerging-web_server.rules Attacks on web servers. emerging-web_specific_apps.rules These will be most of the rules formerly known as web_sql_injection. emerging-web.rules The remaining rules that do not fit cleanly into the above categories will go here. 3. The rules currently in malware for user agents will be moved into their own rules category. Primarily because of the number of signatures we have here. They will now be in the category: emerging-user-agents.rules We are not at this time going to subdivide the virus and trojan rules. They ought to be, but this is a bigger issue than we can tackle at the moment. Again, these changes will go into effect at 00:01EST (GMT + 5) October 2, 2009! Thanks for using and contributing to the ET ruleset. Comments about the change are welcome! Matt -- -------------------------------------------- Matthew Jonkman Emerging Threats Open Information Security Foundation (OISF) Phone 765-429-0398 Fax 312-264-0205 http://www.emergingthreats.net http://www.openinformationsecurityfoundation.org -------------------------------------------- PGP: http://www.jonkmans.com/mattjonkman.asc _______________________________________________ Emerging-sigs mailing list Emerging-sigs@emergingthreats.net http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs

Im Rahmen der Tutorial-Reihe [ Arbeiten mit Snort ] wurden Email-Interviews mit dem Snort-Erfinder Marty Roesch und dem Betreiber der Emerging-Threats-Community Matt Jonkman durchgeführt, die wir hier, im Original und mit freundlicher Genehmigung der Interviewten, veröffentlichen. -> Interview mit Marty Roesch -> Interview mit Matt Jonkman

MARE system veröffentlicht eine Artikelserie mit Tutorials zur Installation, Konfiguration, Tuning und Administration eines Snort-IDS-Sensornetzwerkes. Link: Arbeiten mit Snort

2009-08-13 Tavis Ormandy und Julien Tinnes vom Google Security Team haben eine kritische Lücke im Linux Kernel entdeckt[1][2], die es lokalen Angreifern ermöglicht Rootrechte zu erlangen. Diese Lücke betrifft alle Kernelversionen seit 2001 / Kernel 2.4.4. Die Lücke ist trivial ausnutzbar, Exploits sind bereits im Umlauf, es wird aber ein lokaler Account benötigt. Kurze Tests auf Debian/SuSE/SLES/RHEL zeigten, das anscheinend alle Systeme verwundbar sind. Die notwendigen Korrekturen, um die Sicherheitslücke zu schliessen, sind bereits im Linux-Kernel-Sourcetree eingecheckt,man kann erwarten, das im Laufe des Tages Patches für die Distributionen verfügbar sind. [1] http://lwn.net/Articles/347006/ [2] http://seclists.org/fulldisclosure/2009/Aug/0173.html

2009-07-08 Inhalt: kritische Sicherheitslücke in ActiveX Microsoft warnt in einem aktuelle Security-Advisory vor einer kritischen Sicherheitslücke im eigenen Video-ActiveX-Control. Die Lücke lässt sich über den Internetexplorer ausnutzen; Angreifer können die Kontrolle von Windows-Systemen übernehmen. Die Sicherheitslücke wird bereits aktiv ausgenutzt.[1][2][3] Nach Angaben des Internet Storm Centers wird die Lücke bereits aktiv ausgenutzt und viele gehackte Webserver sind mit entsprechender Malware infiziert; eine laufend aktualisierte Liste wird bereitgestellt [4], des weiteren ein Advisory, wie die Domains via DNS gesperrt werden können.[5] Durch die vor kurzem bekanntgewordene Lücke im FCKeditor (siehe Security Bulletin 09.5 [9]), der in vielen großen Projekten (Adobe ColdFusion, Oracle Application Express, Drupal, Zope, Wikimedia) verwendet wird, ist damit zu rechnen, dass in kurzer Zeit weitere Websites gehackt und mit schadhafter Software infiziert werden, um darüber dann die Windows-Rechner zu infizieren. Microsoft hat aufgrund der kritischen Lage[6] einen Hotfix incl. Anleitung bereitgestellt, bisher nur in englisch.[7][8] Als schnellsten Workaround bietet sich an, auf einen alternativen Browser (Firefox, Opera) umzusteigen; unter [10] befindet sich ein Download-Link für einen aktuellen portablen Firefox-Browser. [1] http://www.microsoft.com/technet/security/advisory/972890.mspx [2] http://www.heise.de/security/Webseiten-infizieren-Windows-PCs-ueber-neue-DirectShow-Luecke--/news/meldung/141616 [3] http://www.securityfocus.com/brief/984 [4] http://isc.sans.org/diary.html?storyid=6739&rss [5] http://www.malwaredomains.com/bhdns.html [6] http://isc.sans.org/diary.html?storyid=6745&rss [7] http://www.heise.de/security/Schnell-Fix-von-Microsoft-fuer-kritische-DirectShow-Luecke--/news/meldung/141656 [8] http://support.microsoft.com/kb/972890 [9] http://www.mare-system.de/index.cgi?p=news&n=secbulletin [10] http://www.mare-system.de/index.cgi?p=produkte#software

2009-07-06 Inhalt: kritische Lücke im FCKEditor / ColdFusion Sicherheitslücke in Nagios2/Nagios3 in eigener Sache: Security Information Center Seit einigen Tagen gibt es Meldungen über Einbrüche in Websites auf Basis von Adobes Applicationservers ColdFusion[1], bei denen Unbekannte eine Lücke im enthaltenen FCKEditor ausnutzten, um Inhalte zu manipulieren.[2] Nach Angaben des ISC soll es auch möglich sein, den kompletten Server zu übernehmen und alle Daten auszulesen oder zu manipulieren. Die Autoren von FCKEditor haben mittlerweile ein Update[3] auf Version 2.6.4.1 für den Editor herausgebracht, das die Lücke im Editor schliessen soll. Der WYSIWYG-HTML-Editor wird u.a. in Wikimedia-Editionen, Oracle Application Express, Zope, Drupal genutzt wird; eine Übersicht, in welchen Produkten der Editor verwendet wird, gibt [4]. ----------------------------------------------- Die Monitoring-Software Nagios ist in den Version 2 und 3 anfällig für eine Sicherheitslücke[5], die authentifizierte Benutzer ausnutzen können, um über das Script statuswml.cgi beliegibe Kommandos mit den Rechten des Apache-Users auf dem Server auszuführen. Debian[6], Redhat[7] und Ubuntu[8] haben bereits die Pakete für Nagios2/Nagios3 aktualisiert. ------------------------------------------------ in eigener Sache: MARE system gibt das Security Information Center (SIC) für eine erste öffentliche Testphase frei. [9] Das SIC ist die Schnittstelle zu einem RDF/RSS/ATOM-Newsfeed-Scanner, der über 20 sicherheitsorientierte RDF-News-Streams alle 10 Minuten nach neuen Nachrichten durchsucht und die jeweiligen News via SIC-Webinterface darstellt oder per Email versendet. Interessierte können verschiedene News-Streams abonnieren und erhalten bei Updates Benachrichtigungen per EMail. Der Dienst wird vorläufig nur auf englisch angeboten. [1] http://isc.sans.org/diary.html?storyid=6715 [2] http://www.heise.de/security/Luecke-in-ColdFusion-8-gefaehrdet-Sicherheit-von-Websites--/news/meldung/141633 [3] http://www.fckeditor.net/download [4] http://www.fckeditor.net/whosusing [5] http://www.securityfocus.com/bid/35464 [6] http://www.debian.org/security/2009/dsa-1825 [7] http://rhn.redhat.com/errata/RHSA-2009-1141.html [8] http://www.ubuntu.com/usn/USN-795-1 [9] http://www.mare-system.de/sic.cgi

MARE system gibt das Security Information Center (SIC) für eine erste öffentliche Testphase frei. (Link) Das SIC ist die Schnittstelle zu einem RDF/RSS/ATOM-Newsfeed-Scanner, der über 20 RDF-News-Streams alle 10 Minuten nach neuen Nachrichten durchsucht und die jeweiligen News via SIC-Webinterface darstellt oder per Email versendet. Interessierte können verschiedene News-Streams abonnieren und erhalten bei Updates Benachrichtigungen per EMail. Der Dienst wird vorläufig nur auf englisch angeboten. mehr Informationen: www.mare-system.de/sic.cgi

2006-06-22 Inhalt: Webserver Easy HTTP-DOS Im Internet ist ein Tool Namens Slowloris aufgetaucht[1], mit dem man Apache-Webserver, die sich nicht hinter einem Loadbalancer oder einer Web-Application-Firewall befinden, von jedem normalen PC aus lahmlegen kann. Im Moment gibt es, ausser Loadbalancing und Einsatz von WAFs, keine Möglichkeiten, sich gegen Angriffe dieser Art zu schützen. Betroffen sind folgende Webserver (die Liste stammt von [1]): Apache 1.x Apache 2.x dhttpd GoAhead WebServer Squid Nicht betroffen sind: IIS6.0 IIS7.0 lighttpd nginx Cherokee [1] http://ha.ckers.org/slowloris/ [2] References: http://www.heise.de/security/Remote-Handbremse-fuer-Webserver--/news/meldung/140678 http://isc.sans.org/diary.html?storyid=6601 http://seclists.org/fulldisclosure/2009/Jun/0207.html

2009-05-19 Inhalt: - Remote Exploit und Buffer-Overflow im NTPD US-CERT hat ein Security-Advisory für den Network Time Protokol Daemon veröffentlicht [1], in dem ein Remote ausnutzbarer Buffer-Overflow beschrieben wird. Damit ist es für entfernte Angreifer möglich, den Dienst zu kompromittieren, schadhaften Code auf dem System auszuführen und ggfs in das System einzudringen. Heise-Security hat einen entsprechenden Artikel dazu veröffentlicht [2] Benutzer von SuSE/SLES-Linux sollten Ihre Systeme überprüfen, da dort der ntpd per default installiert und aktiviert wird. [1] http://www.kb.cert.org/vuls/id/853097 [2] http://www.heise.de/security/Buffer-Overflow-in-Zeit-Protokolldienst-ntpd--/news/meldung/138115

Unter dem Namen ICINGA hat eine Gruppe von Nagios-Enthusiasten, -Plug-in-Entwicklern rund um den auf Nagios-Lösungen spezialisierten Open-Source-Dienstleister Netways einen Fork des populären freien System-Monitoring-Tools ins Leben gerufen. Dabei haben sich die Entwickler vollständige Kompatibilität zum Vorgänger auf die Fahnen geschrieben. Als Erstes wollen sie einige schon länger in der Warteschlange stehende Bugfixes und Verbesserungen umsetzen. Plug-ins von Drittanbietern sollen sich über eine standardisierte API zukünftig besser in das Monitoring-Framework einbinden lassen. Anzeige Auslöser für den Fork sei die Unzufriedenheit über die langsame Umsetzung von Benutzeranfragen im Nagios-Kern gewesen, heißt es auf der Webseite des Projekts. Den Flaschenhals stellen die Nagios-Kern-Entwickler um Chefentwickler Ethan Galstad dar, der diesen Teil der Entwicklung überwiegend allein bewältigt und der mit der schnellen Weiterentwicklung auf der Seite der Plug-ins wohl nicht mehr Schritt halten konnte. Die Versuche, diese Probleme innerhalb des Nagios-Projekts zu lösen, waren, wie Netways-Chef Julian Hein in einem Interview berichtete, nicht von Erfolg gekrönt, weshalb man sich zu einem Fork entschlossen habe. Netways betreibt die Nagios-Portale NagiosExchange, NagiosForge sowie NagiosWiki. ICINGA-Homepage: icinga.org

Unsere Nagios-Demoinstallation ist wieder online; Links und Infos zum Login finden sie hier

ab dem 20.04.2009 befindet sich der Relaunch der www.mare-system.de-Webseiten in der Betaphase; Interessierte können sich unter neu.mare-system.de ein Bild vom neuen Design machen.

Um Mailserver mit MX-Record davor zu schützen, durch intensiven Newsletterversand auf Spamlisten zu landen haben wir ein Produkt im Portfolio, mit dem der Versand von Massenmails und das potentielle Listen der Mailserver-IP auf Realtime Spam Blocklists kein Problem für die interne Email-Infrastruktur darstellt. Weitere Informationen gibt es unter Produkte

Security Bulletin # 2 / 2009 2009-02-11 Inhalt: - Internet Explorer führt Code in Bildern aus Wenn man ein Bild im Internet Explorer öffnet, kann es gut sein, dass dieser zu der Auffassung gelangt, dass es sich dabei eigentlich um HTML-Code handelt und sogar eingebettete Scripte ausführt. Gefährdet sind vor allem die Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können. http://www.heise.de/newsticker/Internet-Explorer-fuehrt-Code-in-Bildern-aus--/meldung/132289

2009-02-10 Inhalt: - Neue PostgreSQL-Versionen beheben kritische Fehler Für alle PostgreSQL-Versionen ab 7.4 haben die Entwickler der freien Datenbank Updates zur Verfügung gestellt. Sie beheben kritische Fehler in Version 8.1 und 8.3. Deshalb sollten Anwender dieser beiden Varianten ihr System so schnell wie möglich aktualisieren. Link :: http://www.heise.de/newsticker/Neue-PostgreSQL-Versionen-beheben-kritische-Fehler--/meldung/127149

Security Bulletin #6 / 2008 2008-11-22 Inhalt: - DDoS Angriffe auf InternetX Zahlreiche deutsche Webseiten (darunter von Schlund gehostete Seiten) sind derzeit schwer oder gar nicht zu erreichen, da die Nameserver des Registrars und Hosters InternetX einem Distributed-Denial-of-Service-Angriff (DDoS) ausgesetzt sind. Dadurch ist die Namensauflösung sowohl der Kundendomains als auch die des InternetX-Webauftritts gestört. Laut InternetX sind insbesondere der Nameserver 62.116.129.129 und diverse virtuelle Nameserver Ziel der Attacke. An einer Entstörung wird nach Angaben des Domain-Supports gearbeitet. InternetX bittet die Unannehmlichkeiten zu entschuldigen. http://www.heise.de/newsticker/DDoS-Attacke-auf-InternetX-Update--/meldung/119274

Security Bulletin #5 / 2008 2008-10-24 Inhalt: - Kritische Lücke in Windows 2000/XP/Vista & Windows Server 2000/2003/2008 Microsoft hat ein Sicherheits-Update für eine kritische Lücke außerhalb der Reihe veröffentlicht. Bei der Lücke handelt es sich um einen Fehler im RPC-Dienst, der sich laut Fehlerbericht ausnutzen lässt, um Code über das Netz in ein System zu schleusen und auszuführen. Dazu genügen präparierte RPC-Requests, für deren Verarbeitung ein Angreifer sich unter Windows 2000, XP und Server 2003 nicht einmal beim Zielsystem authentifizieren muss. Microsoft empfiehlt allen Anwendern, das Update so schnell wie möglich zu installieren. Außer bei Windows 2000 erhalten alle Microsoft-Betriebssysteme das Update automatisch. Wir empfehlen, nach dem Debakeln im Microsoft-Update-Dienst der letzten Zeit, und vor allem bei Firewall-geschützten Systemen, noch mindestens einen Tag mit dem Update zu warten. Weitere Infos zu dem Problem: - http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst--/news/meldung/117867 - http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

2008-09-02 Inhalt: - Linux Rootkit Phalanx2 - allgemeine Datensicherheit - Google Analytics Datenschutzprobleme :: Linux Rootkit Phalanx2 :: Das Computer Emergency Response Team (CERT) des Deutschen Forschungsnetzes und US-CERT [1],[2] warnen vor aktuellen Angriffen, bei denen ein Rootkit auf Linux-Rechnern installiert wird. Zum Einbruch werden vermutlich gestohlene SSH-Schlüssel verwendet oder die Debian-SSL/SSH-Lücke (siehe Security Bulletin #1/2008)[3] aktiv auf ungepatchten Systemen ausgenutzt. Allen Administratoren, die mit SSH-PublicKey-Authentifizierung arbeiten wird empfohlen, ihre Systeme auf die Existenz des Rootkits zu überprüfen. Wir stellen ein Tool bereit, um u.a. nach Spuren dieses Rootkits zu suchen [4] [1] http://www.golem.de/0808/62014.html [2] http://www.golem.de/0808/61527.html [3] http://www.mare-system.de/news.php [4] http://freshmeat.net/projects/check_websites/ :: Allgemeine Datensicherheit :: Nach den Datenhandel-Skandalen der letzten Wochen [5] haben sich Sicherheitsexperten vermehrt auf die Suche nach Lücken in der webbasierte Datensicherheit gemacht und dabei festgestellt, das u.a. Google Cache genauso ein Problem darstellt wie die komplette Indizierung von Webserver-Verzeichnissen. Wie einfach es ist, Daten zu finden, die dafür nicht gedacht wurden, demonstriert Michael Ritter in seinem Sicherheitsblog [6]; es lassen sich hunderte Dateien mit Email/Kundendaten/Adressen finden. Es ist mehr als angebracht, alle Websites auf das Auftreten von Datenlecks hin zu überprüfen. [5] http://www.heise.de/newsticker/Datenhandel-Skandal-weitet-sich-aus--/meldung/114351 [6] http://www.sicherheitsblog.info/Blog/sicherheit.nsf/dx/2008-09-01-001 :: Datenschutzbeauftragte kritisieren Google Analytics :: Google ist mit seinem kostenlosen Dienst Analytics ins Visier von deutschen Datenschutzbehörden geraten. Mit Analytics können Website-Betreiber beispielsweise untersuchen, wo und wie lange Besucher auf ihren Seiten verweilen. Dazu betten sie in jede Webseite Javascript-Code ein, der Surfer-Daten wie die IP-Adresse an Google übermittelt. Die Landesdatenschutzbeauftragten Berlins und Schleswig-Holsteins kritisieren, dass dabei ein Webseitenbetreiber nur seine eigenen Besucher sieht, Google aber Kenntnis zu allen Analytics-basierten Webseiten, die der Nutzer besucht hat, erlangen kann. Diese Nutzungsdaten könne das Unternehmen für weitere eigene Auswertungen verwenden. [7] [7] http://www.heise.de/newsticker/Datenschutzbeauftragte-kritisieren-Google-Analytics--/meldung/110603

Security Bulletin # 3 / 2008 2008-05-30 Inhalt: - Massenhacks von Webseiten Heise berichtet erneut von Massenhacks mittels SQL-Injections, diesmal hauptsächlich auf deutsche Webseiten. Betroffen sind vor allem auf Microsofts IIS und ASP aufsetzende Webserver in Verbindung mit dem CMS "InterLogics CMS professional". Wir stellen für Administratoren auf Anfrage ein Tool bereit, um htdocs_Verzeichnisse und SQL-Dumps auf eventuelle Kompromittierungen durch vergangene und aktuelle SQL-Injections zu untersuchen. Alternativ kann die Google-Suche oder Goolag zum Aufspüren von Sicherheitslücken benutzt werden. heise-link

Security Bulletin # 2 / 2008 2008-05-23 Inhalt - Massenhacks von Webseiten - Mailserver-Probleme durch SPAM-Rückläufer In den letzten Tagen/Wochen wurde wiederholt von Massenhacks auf Webseiten berichtet, auf denen vor allem CMS oder Forensoftware läuft; immer wieder in den Nachrichten finden sich die Software Joomla und phpBB. Wer diese Software einsetzt sollte dringend auf die aktuellen Versionen updaten. heise-link 1 heise-link 2 heise-link 3 -- Des weiteren sind vermehrt Mailserver-Probleme durch SPAM-Rückläufer aufgrund gefälschter Absender-Adressen zu beobachten; nach Angaben von Heise hat sich das Aufkommen dieser Rückläufer im Jahr 2008 bisher verdreifacht. heise-link

2008-05-13 Inhalt - SSH/OpenSSL-Sicherheitslücke Nach einer Mail auf der Debian-Security-Mailinglist gibt es einen schwerwiegender Sicherheitsfehler im Openssl-Packet, der es einem Angreifer ermöglicht, SSL-Sitzungen zu entschlüsseln und via SSH ohne Passwort in Systeme einzubrechen. Ein Sicherheitspatch wird bereits seit gestern Abend zur Verfügung gestellt. Die Sicherheitslücke wird als schwerwiegend eingestuft, es wird daher dringend, empfohlen die Openssl-Pakete auf allen Debian-basierten Servern zu aktualisieren, ggfs Schlüssel neu zu erstellen und evtl. Public-Key-Authentifizierungen mit auf Debian-Systemen generierten Keys zu deaktivieren Debian-Announcement: Debian-SSL_KEY_ROLLOVER Debian-SSL_KEY_WIKI heise.de-Meldung