MARE system Kiel :: News

:: News

2012-03-02 Inhalt ::4 Jahre alte Lücke in Plesk wird aktiv ausgenutzt Heise berichtet[1], dass eine kritische Sicherheitslücke in der Administrations-Software Plesk derzeit aktiv genutzt wird, um betroffene Server zu kompromittieren und Webseiten Schadcode unterzuschieben. Betroffen sind sowohl Windows- als auch Linuxversionen. MARE system empfiehlt, Administrationsoberflächen grundsätzlich per htaccess vor unberechtigtem Zugriff zu schützen. [1] http://www.heise.de/newsticker/meldung/Fehler-in-Admin-Software-Plesk-wird-aktiv-ausgenutzt-1446521.html

2011-12-14 Inhalt :: Debian verbannt sun-java6 In einem Newsletter [1] gibt das Debian-Projekt bekannt, dass, aufgrund von Lizenzänderungen seitens Oracle, das sun-java6-Paket nicht mehr in den Repos geführt wird und keine Updates mehr zur Verfügung gestellt werden. In den aktuellen Stable-Releases (lenny/squeeze) sind die Pakete noch zu finden, in der zukünftigen Stable-Version wheezy sind die Pakete bereits entfernt. Als Migrationspfad bietet sich an, die jeweils aktuellen Java-Pakete direkt von Oracle [2] herunterzuladen und via eigenerstellter Pakete, Puppet o.ä. zu deployen Unter [3] stellt MARE system weitere Infos bereit, sofern diese bekannt werden. [1] http://www.debian.org/News/weekly/2011/15/#javarm [2] http://www.java.com/en/download/ [3] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin1106-debian-sun-java

2011-10-07 Inhalt: :: Kundendatenleck bei Hetzner :: Falsch konfigurierter Apache-Webserver erlaubt Zugriffe auf interne Systeme :: BEAST beats SSL :: Facebook vs Datenschützer - Updates Der Webhoster Hetzner warnt seine Kunden, dass am Mittwoch (05.10.2011) ein "missbräuchlicher Zugriff" auf "Kundendaten der Hetzner Online Administrationssysteme" erfolgt sei.[1] Betroffen sind Kunden der Bereiche Webhosting, Managed Server, Domain Registration Robot, vServer. Alle Kunden, die über Logins zur konsoleH oder dem Hetzner-Robot verfügen werden aufgefordert, die Passwörter zu diesen Diensten umgehend zu ändern. Möglicherweise sind auch Kontodaten betroffen; es wird geraten, die Kontobewegungen in nächster Zeit genauer zu beobachten. Martin Hetzner erläuterte gegenüber der iX, dass die Zugangsdaten von Shared-Hosting-Anwendern im Klartext zugänglich gewesen seien. Von den Passwörtern für die Rootserver-Verwaltung hätten jedoch ausschließlich kryptografische Prüfsummen vorgelegen. Auch solche Hash-Werte sind in fremden Händen jedoch ein Risiko, weil sich mit entsprechender Rechenleistung die dazugehörigen Passwörter errechnen lassen.[2] Durch falsch konfigurierte mod_rewrite_Regeln im Apache-Webserver können entfernte Angreifer durch einen ReverseProxy-Bypass möglicherweise auf interne Systeme zugreifen.[3] Juliano Rizzo und Thai Duong haben am 23. September auf der Sicherheitskonferenz ekoparty in Buenos Aires ein Tool namens BEAST (Browser Exploit Against SSL/TLS) vorgestellt, mit dem ein Angreifer im gleichen Netz via SSL übertragene Browsercookies abgreifen und entschlüsseln können soll. Eine Analyse des Problems nebst möglichen Workraounds haben wir unter [4] zusammengestellt. Die endlose Geschichte "Facebook vs Datenschutz", dokumentiert unter [5], hat einige Updates erfahren. [1] http://hetzner-status.de/#126 [2] http://www.heise.de/newsticker/meldung/Datenleck-bei-Hetzner-1356468.html [3] http://www.contextis.com/research/blog/reverseproxybypass/ [4] http://dogtown.mare-system.de/beast_beats_ssl [5] http://dogtown.mare-system.de/facebook_und_datenschutz

2011-08-24 Inhalt: :: Apachekiller bringt Webserver zum Absturz :: PHP 5.3.7 mit kaputter crypt() Funktion :: ULD Schleswig-Holstein sagt Facebooks "I Like" Button den Kampf an Auf der Full-Disclosure-Mailingliste ist ein Script (apachekiller.pl)[1] aufgetaucht, mitdem sich der Apache-Webserver innerhalb kurzer Zeit von einem PC mit DSL-Anschluss aus lahmlegen lässt. Ein Workaround [2] in Form von Rewrite-Rules wurde von uns getestet und auf alle MARE-System-Webserver ausgerollt. In der vor wenigen Tagen veröffentlichten PHP-Version 5.3.7 ist ein schwerwiegender Fehler in der crypt() - Funktion entdeckt worden[3]; von einem Einsatz wird abgeraten. In der mittlerweile veröffentlichten Version 5.3.8 ist dieser Fehler behoben[4]. Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) sucht die Konfrontation mit Facebook. Es fordert in einer Mitteilung[5] alle Website-Betreiber in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plug-ins wie den "Gefällt mir"-Button auf ihren Webseiten bis Ende September 2011 zu entfernen. Thilo Weichert, Leiter des ULD und Landesdatenschutzbeauftragter, droht mit Untersagungsverfügungen und Bußgeldern wegen Verstößen gegen geltendes Datenschutzgrecht.[6] [1] http://seclists.org/fulldisclosure/2011/Aug/175 [2] http://seclists.org/fulldisclosure/2011/Aug/241 [3] http://www.heise.de/security/meldung/Finger-weg-von-PHP-5-3-7-1328482.html [4] http://www.heise.de/newsticker/meldung/PHP-5-3-8-beseitigt-Fehler-bei-Hash-Operationen-1329735.html [5] https://www.datenschutzzentrum.de/presse/20110819-facebook.htm [6] http://www.heise.de/newsticker/meldung/Facebooks-Like-Button-im-Visier-deutscher-Datenschuetzer-1326346.html

2011-07-27 Inhalt: :: Java 7-Compiler enthält Defekte im Optimierer Der Hotspot-Compiler im gerade freigegebenen Java 7 enthält Defekte im Optimierer, die zu fehlerhaften Schleifen führen können. Darauf weist die Apache Software Foundation hin. Folgen könnten sowohl Abstürze der Java Virtual Machine als auch fehlerhafte Resultate von Berechnungen sein.[1] [1] http://www.heise.de/ix/meldung/Java-7-legt-Lucene-und-Solr-lahm-1288143.html

2011-06-23 Inhalt: :: Backdoor in verschiedenen Wordpress-Plugins gefunden Die WordPress-Entwickler haben in den populäre Wordpress-Plugins AddThis, WPtouch und W3 Total Cache Backdoors entdeckt[1], mit der wahrscheinlich Zugriffe auf die WP-Installation und den Server möglich sind. Es wird empfohlen, alle Wordpress-Installationen, die o.a. Plugins benutzen, auf das Vorhandensein von Backdoors zu überprüfen. [1] https://wordpress.org/news/2011/06/passwords-reset/

2011-02-10 Inhalt :: Lücke in PHP verursacht Webserver-DOS :: Lücke in JAVA verursacht DOS :: diverse Lücken in Wordpress/Drupal/Magento EE beseitigt :: Facebook + https (hust*hust) :: iPhone-Daten können ausgelesen werden Ende Dezember wurde eine PHP-Lücke bekannt[1], die bei Webservern auf einem 32-bit-OS zu einem DOS des kompletten Betriebssystems führen kann[2][3]. Auf Stackoverflow sind Workarounds für diese Lücke erschienen[4][5]. MARE system-Kunden sind von diesem Bug nicht betroffen. Ein ähnlicher Bug wurde Anfang Februar in aktuellen Java-Versionen publiziert[6], der aktuelle Versionen von Tomcat/JBOSS etc zum Absturz bringen kann. Der Bug ist zwar mittlerweile von Oracle gefixt[7], wann dieser Fix allerdings durch die Distributionen verteilt wird ist ungewiss[8]. Wordpress hat ein Sicherheitsupdate (3.0.5) veröffentlich[9][10], mit dem mehrere Lücken geschlossen werden. In Drupal sind mehrere XSS- und SQL-Injections-Lücken bekannt geworden[11], mit denen sich in administrativer Zugriff auf die Drupal-Installation erlangen lässt. Für Magento EE ist ein Zero-Dey-Exploit im Umlauf[12], mit dem Usersessions manipuliert und damit u.U. Kreditkarteninformationen entwendet werden können. Facebook hat die Option eingeführt, die Webapplikation via SSL-Verschlüsselung zu nutzen; ein Bug/Feature kann dazu führen, das diese Option komplett deaktiviert wird[13]. IPhone-Nutzer sollten keine sensitiven Daten wie Zugänge oder Passwörter auf dem iPhone speichern, da diese Daten u.U. bei Verlust ausgelesen werden können[14]. [1] http://bugs.php.net/bug.php?id=53632 [2] http://www.theregister.co.uk/2011/01/04/weird_php_dos_vuln/ [3] http://www.heise.de/security/meldung/PHP-5-3-5-5-2-17-Floating-Point-Bug-behoben-1164801.html [4] http://stackoverflow.com/questions/4610651/any-problems-with-the-following-work-around-for-php-bug-53632 [5] http://stackoverflow.com/questions/4605590/php-float-bug-php-hangs-on-numeric-value [6] http://www.heise.de/security/meldung/Oracle-warnt-vor-Java-Schwachstelle-1185967.html [7] http://www.theregister.co.uk/2011/02/09/java_floating_point_bug_fixed/ [8] http://isc.sans.edu/diary.html?storyid=10393&rss [9] http://wordpress.org/news/2011/02/wordpress-3-0-5/ [10] http://isc.sans.edu/diary.html?storyid=10387&rss [11] http://drupal.org/node/1056470 [12] http://seclists.org/fulldisclosure/2011/Feb/123 [13] http://www.heise.de/security/meldung/Facebooks-kruder-https-Workaround-1184610.html [14] http://www.heise.de/security/meldung/iPhone-verloren-Passwoerter-weg-1186267.html

2010-09-14 Inhalt: :: Kritische Sicherheitslücke im Ad-Server OpenX Seit gestern ist eine Lücke im Ad-Server OpenX bekannt[1], die es Angreifern erlaubt, beliebige Dateien hochzuladen und mit Webserver-Rechten auszuführen. Seit heute sind erste[3] Berichte[4] bekannt, das diese Lücke aktiv ausgenutzt wird. um darüber in Webserver einzudringen[5]; u.a. bei PirateBay[6]. Eine Empfehlung, wie das Problem zu umgehen ist gibt es unter [7]. MARE system Hosting-Kunden, die das Security-Paket verwenden sind durch den Einsatz eines Intrusion Detection Systems vor dieser Lücke geschützt[2]. [1] http://www.kreativrauschen.de/blog/2010/09/09/kritische-sicherheitsluecke-in-openx-2-8-6-open-flash-chart-2/ [2] http://lists.emergingthreats.net/pipermail/emerging-sigs/2010-September/009130.html [3] http://www.heise.de/security/meldung/Webseiten-verteilen-Malware-ueber-gehackte-OpenX-Server-1078897.html [4] http://www.afterdawn.com/news/article.cfm/2010/09/12/vulnerability_in_openx_ advertisement_server_afterdawn_s_ads_affected_as_well [5] http://www.esarcasm.com/17960/no-esarcasm-is-not-a-tool-of-satan-or-malware-authors/ [6] http://www.thinq.co.uk/2010/9/13/pirate-bay-cracked-spread-malware/ [7] http://www.heise.de/security/meldung/Ein-Jahr-alte-Luecke-gefaehrdet-OpenX-Ad-Server-1077941.html

2010-07-19 Inhalt: Kritische Windows-Lücke bei der Verarbeitung von LNK-Dateien Am Donnerstag berichtete das US-CERT[1] über eine schwere Lücke im Windows-Betriebssystem. Durch einen Fehler in der Verarbeitung von Verknüpfungen (.lnk-Dateien) startet ohne weiteres Zutun des Anwenders Schadcode, allein durch Anzeige des dazugehörigen Icons etwa im Windows Explorer. Die Lücke betrifft alle Windows-Versionen seit Windows XP, auch die Serverversionen; wann Microsoft einen Patch zur Verfügung stellen wird, ist momentan nicht bekannt. Microsoft hat die Lücke mittlerweile bestätigt und einen ersten Workaround veröffentlicht[3], auch das SANS ISC gibt Workaround-Empfehlungen[2]. Laut Heise wird die Lücke von Trojanern/Malware aktiv ausgenutzt, Antivirensoftware ist bei dieser Art der Lücke quasi chancenlos. [1] http://www.us-cert.gov/current/index.html#microsoft_windows_lnk_vulnerability [2] http://isc.sans.edu/diary.html?storyid=9181 [3] http://www.microsoft.com/technet/security/advisory/2286198.mspx [4] http://www.heise.de/security/meldung/Neue-Windows-Luecke-schlaegt-weitere-Wellen-1039763.html

2010-03-29 Inhalt: :: SSL - Server und Client - DOS :: Facebook will Nutzerdaten automatisch weitergeben Präparierte TLS-Pakete können einen OpenSSL-Server oder -Client zum Absturz bringen. Ursache ist ein Fehler in der Funktion ssl3_get_record() zur Verarbeitung von SSL-Records. In SSL-Records werden die Daten zwischen den Endpunkten übertragen. Falsch formatierte Records führen laut Bericht der OpenSSL-Entwickler zu einem Speicherzugriffsfehler.[1][2] Anwender des aktuellen Debian/Stable sind nicht betroffen[3], der Fehler tritt in den OpenSSL-Versionen 0.9.8f bis 0.9.8m auf. [1] http://openssl.org/news/secadv_20100324.txt [2] http://www.heise.de/security/meldung/Record-of-Death-legt-OpenSSL-Server-lahm-965773.html [3] http://security-tracker.debian.org/tracker/CVE-2010-0740 Facebook will Nutzerdaten automatisch weitergeben In einem Vorschlag zur Neufassung seiner Datenschutzregeln kündigt Facebook an, Kundendaten an "überprüfte" (pre-approved) Websites und Anwendungen Dritter weiterzuleiten. Dazu sei das Unternehmen "gezwungen", um seinen Nutzern "die Möglichkeit zu geben, auch außerhalb von Facebook nützliche Erfahrungen im sozialen Bereich machen zu können." Die "betreffenden Webseiten und Anwendungen (müssen), ein Zulassungsverfahren ... durchlaufen" und gesonderte Vereinbarungen zum Schutz der Privatsphäre unterzeichnen. [4] [4] http://www.heise.de/newsticker/meldung/Facebook-will-Nutzerdaten-automatisch-weitergeben-965524.html

2010-03-16 Inhalt: :: Spamassassin Milter-Plugin Remote Code Execution Im Milter-Plugin des vielfach eingesetzten Spam-Filters Spamassassin wurde ein kritische Sicherheitslücke entdeckt, mit der ein Angreifer beliebige Befehle mit den Rechten des Mailservers/Spamfilters ausführen kann[1]. Dazu wird eine besonders formatierte Mail an den Mailserver gesandt, die beim Filtern die versteckten Befehle ausführt. Es sind bereits Berichte aufgetaucht, das die Lücke aktiv ausgenutzt wird[2], der Entdecker der Lücke hat einen Exploit dazu veröffentlicht[3]. Unter [4] stellen wir weitere Infos, Workarounds und ein Testscript zum Mailservertest zur Verfügung. [1] http://seclists.org/fulldisclosure/2010/Mar/140 [2] http://isc.sans.org/diary.html?storyid=8434 [3] http://seclists.org/fulldisclosure/2010/Mar/264 [4] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin1003-spamassassin_milter

2010-02-15 Inhalt: :: Probleme nach Microsoft-Update / XP-Crash und BSOD Nach dem Mega-Patchday[4][5] vom letzten Dienstag, vom ISC sinnigerweise als "Black Tuesday" beschrieben[1], haben einige Microsoft-Workstations unter XP mit dem Blue Screen of Death (BSOD) zu kämpfen[2][3][7]. Grund ist anscheinend eine fehlerhafte Treiberdatei, momentan mehren sich die Stimmen[2][6], das dieses Problem durch eine Rootkit-Infizierung der betreffenden Clients entsteht. Weitere Updates: Research@Dogtown Links: [1] - http://isc.sans.org/diary.html?storyid=8197 [2] - http://isc.sans.org/diary.html?storyid=8209 [3] - http://isc.sans.org/diary.html?storyid=8215 [4] - http://www.microsoft.com/technet/security/bulletin/ms10-feb.mspx [5] - http://www.heise.de/security/meldung/Weiterhin-Luecken-trotz-Microsofts-Riesen-Patch-Serie-Update-926161.html [6] - http://www.golem.de/1002/73115-rss.html [7] - http://www.heise.de/security/meldung/Sicherheits-Update-von-Microsoft-fuehrt-zu-Bluescreen-928926.html

2010-02-07 Inhalt :: Lücke im Fileserver Samba ermöglicht Auslesen beliebiger Dateien Auf der Mailinglist Fulldisclosure wurde ein Exploit gezeigt und veröffentlicht, der es einem entfernen Angreifer ermöglicht, beliebige Dateien auf dem Server auszulesen[1][2]. Benötigt wird dafür entweder ein Account auf dem Samba-Server oder ein Samba-Share mit Gastzugang und Schreibzugriff. Das Samba-Team hat ein Advisory veröffentlicht[3], indem eine Möglichkeit beschrieben wird, die Lücke per smb.conf- Option zu schliessen: die Anweisung wide links = no in der Section [global] verhindert, das die Lücke ausgenutzzt werden kann. Diese Option ist in vielen Samba-Default-Installation nicht gesetzt. Betroffen sind die aktuelle Version 3.4.5 und wahrscheinlich alle vorhergendenden Versionen.[4] Links: [1] http://seclists.org/fulldisclosure/2010/Feb/82 [2] http://seclists.org/fulldisclosure/2010/Feb/99 [3] http://www.samba.org/samba/news/symlink_attack.html [4] http://www.heise.de/security/meldung/Schwachstelle-in-Samba-ermoeglicht-Zugriff-auf-Dateien-Update-924142.html

2009-11-25 Inhalt: :: 1und1 - ungepatchter Installationskernel in Suse-11-Rootserverinstallation Der Hoster 1&1 installiert auf Rootservern mit Suse-11 eigene Kernel, für die keine Updates via Yast-Online/Autoupdate eingeflegt werden können.[1] Kernelupdates erfolgen nur, wenn die Betreiber der Rootserver manuell entweder neue Kernelimages von update.onlinehome-server.info herunterladen und via Yast installieren, eigene Kernel kompilieren oder den Suse-Standardkernel installieren. Auf Nachfrage von heise wird 1und1 die Dokumentationen überarbeiten und deutlicher auf den Sonderfall bei openSuse 11 sowie auf den Fundort für aktuelle Kernel-Dateien hinweisen.[2] Updates und weitere Infos zu dieser Meldung gibt es unter [3] [1] http://dogtown.mare-system.de/doku.php?id=research:advisories:2009-1und1-kernel [2] http://www.heise.de/security/meldung/openSuse-Kernel-auf-1-1-Root-Servern-moeglicherweise-veraltet-869583.html [3] http://dogtown.mare-system.de/doku.php?id=research:updates:secbulletin0911-1und1_kernel

2009-11-16 Inhalt: :: Schwachstelle im SSL/TLS-Protokoll macht MITM-Attacken und Ausspähen von Daten möglich Am 4.11. veröffentlichten Marsh Ray und Steve Dispensa ein Dokument[1], in dem eine Designschwachstelle des Verschlüsselungsprotokolls SSL/TLS beschrieben wurde, mit der Man in The Middle - Attacken und damit das Ausspähen sensitiver Daten möglich sind[2][3]. Eine bildhafte Erklärung zu dieser Schwachstelle liefert Theirry Zoller in seinem Blog[4] Am 6.11. lieferte das OpenSSL-Projekt einen Fix (0.9.8l), der aber nicht die Schwachstelle behebt sondern einige Protokoll-Features abschaltet[5][6][7]. Serverbetreibern, die mit SSL und Client-Zertifikaten arbeiten, ist dringlichst anzuraten, die in den Distributionen verfügbaren Patches[7] ausgiebig mit Clientanwendungen zu testen, bevor die Sicherheitspatches auf Produktivsystemen ausgerollt werden. weitere Updates [1] http://extendedsubset.com/?p=8 [2] http://www.heise.de/security/meldung/Schwachstelle-im-SSL-TLS-Protokoll-851104.html [3] http://www.heise.de/security/meldung/Passwortklau-durch-Schwachstelle-im-SSL-TLS-Protokoll-860067.html [4] http://blog.g-sec.lu/2009/11/tls-sslv3-renegotiation-vulnerability.html [5] http://isc.sans.org/diary.html?storyid=7543 [6] http://www.heise.de/security/meldung/OpenSSL-fixt-TLS-Schwachstelle-853177.html [7] http://seclists.org/bugtraq/2009/Nov/113 [8] http://blog.ivanristic.com/2009/11/initial-test-for-ssl-renegotiation-added-to-ssl-labs.html

2009-11-12 Inhalt: :: Linux Kernel Null-Pointer Dereference Bugs :: Windows Server 2008R2 Remote Kernel Crash / Remote Code Execution Die in letzter Zeit[1] publizierten Null-Pointer Dereference Bugs im Linux-Kernel, die zu Abstürzen von Diensten oder zu Rootrechten führen können[2] und für die auch schon Exploits zur Verfügung stehen[3], lassen sich, so man eine aktuelle Version einsetzt, recht einfach umgehen, indem man ein Kernel-Feature (mmap_min_addr) nutzt, dessen Werte einfach auf der Kommandozeile gesetzt werden können. Eine ausführlich Anleitung dazu und Infos zu betroffenen Distributionen gibt der Link unter[4]. Laurent Gaffié hat in seinem Blog[5] eine kritische Sicherheitslücke im Windows Server 2008R2 veröffentlich, die zum kompletten Einfrieren des Servers führt. Ein Patch ist noch nicht verfügbar. Update 2009-11-13 Microsoft hat ein Advisory[6] zu dem Problem veröffentlicht, in dem zwar bestätigt wird, das Microsoft ein Problem untersucht, ausser Beschwichtigungen aber keine Infos weiteren zu finden sind. Indirekt wird aber die Existenz einer Sicherheitslüücke zugegeben: "Microsoft is investigating new public reports of a possible denial of service vulnerability in the Server Message Block (SMB) protocol. ... However, Microsoft is aware that detailed exploit code has been published for the vulnerability." In den weiter unten zu findenden Q&A ist dann aber doch von einem Problem die Rede: Das Internet Strom Center hat einen FAQ/Artikel[7] mit umfangreichen Informationen zur Lücke, zum Exploit und betroffenen Windows-Versionen online gestellt, der regelmäßig mit neuen Infos versehen wird. [1] http://www.mare-system.de/sic/index.cgi?search=linux%25kernel%25null%25pointer%25dereference [2] http://lwn.net/Articles/347006/ [3] http://www.securityfocus.com/bid/36038 [4] how to avoid that nasty nullpointer dereference bugs in linux kernel [5] http://g-laurent.blogspot.com/2009/11/windows-7-server-2008r2-remote-kernel.html [6] http://www.microsoft.com/technet/security/advisory/977544.mspx [7] http://isc.sans.org/diary.html?storyid=7573

Inhalt: :: Umbenennung der Emerging-Threats-Regelsätze Am Freitag, den 2. Oktober 05:01 MESZ [00:01 EST (GMT +5)] werden einige Dateien aus den ET-Regelsätzen umbenannt, vor allem die Bereiche WEB und VIRUS/MALWARE werden neu zusammengefasst. Weitere Infos geben die unten stehende Email, die offizielle Ankündigung auf der ET-Webseite [1] und die Diskussion auf der emerging-sigs-mailingliste [2] [1] http://emergingthreats.net/index.php/component/content/article/17-sigs/203-rule-file-change-coming.html [2] http://lists.emergingthreats.net/pipermail/emerging-sigs/2009-September/003866.html -------- Original Message -------- Subject: [Emerging-Sigs] Rule Change Official Notice Date: Fri, 25 Sep 2009 15:25:45 -0400 From: Matt Jonkman To: Emerging Threats Signatures WE'RE MAKING A CHANGE TO THE ORGANIZATION OF THE RULESET!! YOU WILL HAVE TO UPDATE YOUR CONFIG!!! Trying to get everyone's attention. Are you here now? Thanks for taking a minute to read this. You'll be glad you did. We are just about to cross signature ID 2010000, that's ten thousand signatures come and gone (we have about 7,500 active at the moment). There are a few categories that have bloated and some more granular organization will be of a benefit to all of us. So we're going to take this opportunity to do the following. These changes will come into effect at 00:01EST (GMT + 5) October 2, 2009. That's just under one week from now. So please be prepared, you'll have to update your snort configuration to keep using the same rules, they'll be in different files. 1. Rules in CURRENT_EVENTS currently drop into emerging.rules. We will no longer do this, and add the file emerging-current_events.rules. 2. The WEB category will be subdivided and the WEB_SPECIFIC will be renamed. This is for easier disabling or enabling of client and server based rules. The new files will be: emerging-web_client.rules These will be the activex and other browser and client exploits. emerging-web_server.rules Attacks on web servers. emerging-web_specific_apps.rules These will be most of the rules formerly known as web_sql_injection. emerging-web.rules The remaining rules that do not fit cleanly into the above categories will go here. 3. The rules currently in malware for user agents will be moved into their own rules category. Primarily because of the number of signatures we have here. They will now be in the category: emerging-user-agents.rules We are not at this time going to subdivide the virus and trojan rules. They ought to be, but this is a bigger issue than we can tackle at the moment. Again, these changes will go into effect at 00:01EST (GMT + 5) October 2, 2009! Thanks for using and contributing to the ET ruleset. Comments about the change are welcome! Matt -- -------------------------------------------- Matthew Jonkman Emerging Threats Open Information Security Foundation (OISF) Phone 765-429-0398 Fax 312-264-0205 http://www.emergingthreats.net http://www.openinformationsecurityfoundation.org -------------------------------------------- PGP: http://www.jonkmans.com/mattjonkman.asc _______________________________________________ Emerging-sigs mailing list Emerging-sigs@emergingthreats.net http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs

2009-08-13 Tavis Ormandy und Julien Tinnes vom Google Security Team haben eine kritische Lücke im Linux Kernel entdeckt[1][2], die es lokalen Angreifern ermöglicht Rootrechte zu erlangen. Diese Lücke betrifft alle Kernelversionen seit 2001 / Kernel 2.4.4. Die Lücke ist trivial ausnutzbar, Exploits sind bereits im Umlauf, es wird aber ein lokaler Account benötigt. Kurze Tests auf Debian/SuSE/SLES/RHEL zeigten, das anscheinend alle Systeme verwundbar sind. Die notwendigen Korrekturen, um die Sicherheitslücke zu schliessen, sind bereits im Linux-Kernel-Sourcetree eingecheckt,man kann erwarten, das im Laufe des Tages Patches für die Distributionen verfügbar sind. [1] http://lwn.net/Articles/347006/ [2] http://seclists.org/fulldisclosure/2009/Aug/0173.html

2009-07-08 Inhalt: kritische Sicherheitslücke in ActiveX Microsoft warnt in einem aktuelle Security-Advisory vor einer kritischen Sicherheitslücke im eigenen Video-ActiveX-Control. Die Lücke lässt sich über den Internetexplorer ausnutzen; Angreifer können die Kontrolle von Windows-Systemen übernehmen. Die Sicherheitslücke wird bereits aktiv ausgenutzt.[1][2][3] Nach Angaben des Internet Storm Centers wird die Lücke bereits aktiv ausgenutzt und viele gehackte Webserver sind mit entsprechender Malware infiziert; eine laufend aktualisierte Liste wird bereitgestellt [4], des weiteren ein Advisory, wie die Domains via DNS gesperrt werden können.[5] Durch die vor kurzem bekanntgewordene Lücke im FCKeditor (siehe Security Bulletin 09.5 [9]), der in vielen großen Projekten (Adobe ColdFusion, Oracle Application Express, Drupal, Zope, Wikimedia) verwendet wird, ist damit zu rechnen, dass in kurzer Zeit weitere Websites gehackt und mit schadhafter Software infiziert werden, um darüber dann die Windows-Rechner zu infizieren. Microsoft hat aufgrund der kritischen Lage[6] einen Hotfix incl. Anleitung bereitgestellt, bisher nur in englisch.[7][8] Als schnellsten Workaround bietet sich an, auf einen alternativen Browser (Firefox, Opera) umzusteigen; unter [10] befindet sich ein Download-Link für einen aktuellen portablen Firefox-Browser. [1] http://www.microsoft.com/technet/security/advisory/972890.mspx [2] http://www.heise.de/security/Webseiten-infizieren-Windows-PCs-ueber-neue-DirectShow-Luecke--/news/meldung/141616 [3] http://www.securityfocus.com/brief/984 [4] http://isc.sans.org/diary.html?storyid=6739&rss [5] http://www.malwaredomains.com/bhdns.html [6] http://isc.sans.org/diary.html?storyid=6745&rss [7] http://www.heise.de/security/Schnell-Fix-von-Microsoft-fuer-kritische-DirectShow-Luecke--/news/meldung/141656 [8] http://support.microsoft.com/kb/972890 [9] http://www.mare-system.de/index.cgi?p=news&n=secbulletin [10] http://www.mare-system.de/index.cgi?p=produkte#software

2009-07-06 Inhalt: kritische Lücke im FCKEditor / ColdFusion Sicherheitslücke in Nagios2/Nagios3 in eigener Sache: Security Information Center Seit einigen Tagen gibt es Meldungen über Einbrüche in Websites auf Basis von Adobes Applicationservers ColdFusion[1], bei denen Unbekannte eine Lücke im enthaltenen FCKEditor ausnutzten, um Inhalte zu manipulieren.[2] Nach Angaben des ISC soll es auch möglich sein, den kompletten Server zu übernehmen und alle Daten auszulesen oder zu manipulieren. Die Autoren von FCKEditor haben mittlerweile ein Update[3] auf Version 2.6.4.1 für den Editor herausgebracht, das die Lücke im Editor schliessen soll. Der WYSIWYG-HTML-Editor wird u.a. in Wikimedia-Editionen, Oracle Application Express, Zope, Drupal genutzt wird; eine Übersicht, in welchen Produkten der Editor verwendet wird, gibt [4]. ----------------------------------------------- Die Monitoring-Software Nagios ist in den Version 2 und 3 anfällig für eine Sicherheitslücke[5], die authentifizierte Benutzer ausnutzen können, um über das Script statuswml.cgi beliegibe Kommandos mit den Rechten des Apache-Users auf dem Server auszuführen. Debian[6], Redhat[7] und Ubuntu[8] haben bereits die Pakete für Nagios2/Nagios3 aktualisiert. ------------------------------------------------ in eigener Sache: MARE system gibt das Security Information Center (SIC) für eine erste öffentliche Testphase frei. [9] Das SIC ist die Schnittstelle zu einem RDF/RSS/ATOM-Newsfeed-Scanner, der über 20 sicherheitsorientierte RDF-News-Streams alle 10 Minuten nach neuen Nachrichten durchsucht und die jeweiligen News via SIC-Webinterface darstellt oder per Email versendet. Interessierte können verschiedene News-Streams abonnieren und erhalten bei Updates Benachrichtigungen per EMail. Der Dienst wird vorläufig nur auf englisch angeboten. [1] http://isc.sans.org/diary.html?storyid=6715 [2] http://www.heise.de/security/Luecke-in-ColdFusion-8-gefaehrdet-Sicherheit-von-Websites--/news/meldung/141633 [3] http://www.fckeditor.net/download [4] http://www.fckeditor.net/whosusing [5] http://www.securityfocus.com/bid/35464 [6] http://www.debian.org/security/2009/dsa-1825 [7] http://rhn.redhat.com/errata/RHSA-2009-1141.html [8] http://www.ubuntu.com/usn/USN-795-1 [9] http://www.mare-system.de/sic.cgi

2006-06-22 Inhalt: Webserver Easy HTTP-DOS Im Internet ist ein Tool Namens Slowloris aufgetaucht[1], mit dem man Apache-Webserver, die sich nicht hinter einem Loadbalancer oder einer Web-Application-Firewall befinden, von jedem normalen PC aus lahmlegen kann. Im Moment gibt es, ausser Loadbalancing und Einsatz von WAFs, keine Möglichkeiten, sich gegen Angriffe dieser Art zu schützen. Betroffen sind folgende Webserver (die Liste stammt von [1]): Apache 1.x Apache 2.x dhttpd GoAhead WebServer Squid Nicht betroffen sind: IIS6.0 IIS7.0 lighttpd nginx Cherokee [1] http://ha.ckers.org/slowloris/ [2] References: http://www.heise.de/security/Remote-Handbremse-fuer-Webserver--/news/meldung/140678 http://isc.sans.org/diary.html?storyid=6601 http://seclists.org/fulldisclosure/2009/Jun/0207.html

2009-05-19 Inhalt: - Remote Exploit und Buffer-Overflow im NTPD US-CERT hat ein Security-Advisory für den Network Time Protokol Daemon veröffentlicht [1], in dem ein Remote ausnutzbarer Buffer-Overflow beschrieben wird. Damit ist es für entfernte Angreifer möglich, den Dienst zu kompromittieren, schadhaften Code auf dem System auszuführen und ggfs in das System einzudringen. Heise-Security hat einen entsprechenden Artikel dazu veröffentlicht [2] Benutzer von SuSE/SLES-Linux sollten Ihre Systeme überprüfen, da dort der ntpd per default installiert und aktiviert wird. [1] http://www.kb.cert.org/vuls/id/853097 [2] http://www.heise.de/security/Buffer-Overflow-in-Zeit-Protokolldienst-ntpd--/news/meldung/138115

Security Bulletin # 2 / 2009 2009-02-11 Inhalt: - Internet Explorer führt Code in Bildern aus Wenn man ein Bild im Internet Explorer öffnet, kann es gut sein, dass dieser zu der Auffassung gelangt, dass es sich dabei eigentlich um HTML-Code handelt und sogar eingebettete Scripte ausführt. Gefährdet sind vor allem die Besucher von Web-Seiten, bei denen Benutzer selbst Bilder hochladen können. http://www.heise.de/newsticker/Internet-Explorer-fuehrt-Code-in-Bildern-aus--/meldung/132289

2009-02-10 Inhalt: - Neue PostgreSQL-Versionen beheben kritische Fehler Für alle PostgreSQL-Versionen ab 7.4 haben die Entwickler der freien Datenbank Updates zur Verfügung gestellt. Sie beheben kritische Fehler in Version 8.1 und 8.3. Deshalb sollten Anwender dieser beiden Varianten ihr System so schnell wie möglich aktualisieren. Link :: http://www.heise.de/newsticker/Neue-PostgreSQL-Versionen-beheben-kritische-Fehler--/meldung/127149

Security Bulletin #6 / 2008 2008-11-22 Inhalt: - DDoS Angriffe auf InternetX Zahlreiche deutsche Webseiten (darunter von Schlund gehostete Seiten) sind derzeit schwer oder gar nicht zu erreichen, da die Nameserver des Registrars und Hosters InternetX einem Distributed-Denial-of-Service-Angriff (DDoS) ausgesetzt sind. Dadurch ist die Namensauflösung sowohl der Kundendomains als auch die des InternetX-Webauftritts gestört. Laut InternetX sind insbesondere der Nameserver 62.116.129.129 und diverse virtuelle Nameserver Ziel der Attacke. An einer Entstörung wird nach Angaben des Domain-Supports gearbeitet. InternetX bittet die Unannehmlichkeiten zu entschuldigen. http://www.heise.de/newsticker/DDoS-Attacke-auf-InternetX-Update--/meldung/119274

Security Bulletin #5 / 2008 2008-10-24 Inhalt: - Kritische Lücke in Windows 2000/XP/Vista & Windows Server 2000/2003/2008 Microsoft hat ein Sicherheits-Update für eine kritische Lücke außerhalb der Reihe veröffentlicht. Bei der Lücke handelt es sich um einen Fehler im RPC-Dienst, der sich laut Fehlerbericht ausnutzen lässt, um Code über das Netz in ein System zu schleusen und auszuführen. Dazu genügen präparierte RPC-Requests, für deren Verarbeitung ein Angreifer sich unter Windows 2000, XP und Server 2003 nicht einmal beim Zielsystem authentifizieren muss. Microsoft empfiehlt allen Anwendern, das Update so schnell wie möglich zu installieren. Außer bei Windows 2000 erhalten alle Microsoft-Betriebssysteme das Update automatisch. Wir empfehlen, nach dem Debakeln im Microsoft-Update-Dienst der letzten Zeit, und vor allem bei Firewall-geschützten Systemen, noch mindestens einen Tag mit dem Update zu warten. Weitere Infos zu dem Problem: - http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst--/news/meldung/117867 - http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Security Bulletin # 3 / 2008 2008-05-30 Inhalt: - Massenhacks von Webseiten Heise berichtet erneut von Massenhacks mittels SQL-Injections, diesmal hauptsächlich auf deutsche Webseiten. Betroffen sind vor allem auf Microsofts IIS und ASP aufsetzende Webserver in Verbindung mit dem CMS "InterLogics CMS professional". Wir stellen für Administratoren auf Anfrage ein Tool bereit, um htdocs_Verzeichnisse und SQL-Dumps auf eventuelle Kompromittierungen durch vergangene und aktuelle SQL-Injections zu untersuchen. Alternativ kann die Google-Suche oder Goolag zum Aufspüren von Sicherheitslücken benutzt werden. heise-link

Security Bulletin # 2 / 2008 2008-05-23 Inhalt - Massenhacks von Webseiten - Mailserver-Probleme durch SPAM-Rückläufer In den letzten Tagen/Wochen wurde wiederholt von Massenhacks auf Webseiten berichtet, auf denen vor allem CMS oder Forensoftware läuft; immer wieder in den Nachrichten finden sich die Software Joomla und phpBB. Wer diese Software einsetzt sollte dringend auf die aktuellen Versionen updaten. heise-link 1 heise-link 2 heise-link 3 -- Des weiteren sind vermehrt Mailserver-Probleme durch SPAM-Rückläufer aufgrund gefälschter Absender-Adressen zu beobachten; nach Angaben von Heise hat sich das Aufkommen dieser Rückläufer im Jahr 2008 bisher verdreifacht. heise-link

2008-05-13 Inhalt - SSH/OpenSSL-Sicherheitslücke Nach einer Mail auf der Debian-Security-Mailinglist gibt es einen schwerwiegender Sicherheitsfehler im Openssl-Packet, der es einem Angreifer ermöglicht, SSL-Sitzungen zu entschlüsseln und via SSH ohne Passwort in Systeme einzubrechen. Ein Sicherheitspatch wird bereits seit gestern Abend zur Verfügung gestellt. Die Sicherheitslücke wird als schwerwiegend eingestuft, es wird daher dringend, empfohlen die Openssl-Pakete auf allen Debian-basierten Servern zu aktualisieren, ggfs Schlüssel neu zu erstellen und evtl. Public-Key-Authentifizierungen mit auf Debian-Systemen generierten Keys zu deaktivieren Debian-Announcement: Debian-SSL_KEY_ROLLOVER Debian-SSL_KEY_WIKI heise.de-Meldung

| PublicKey | Datenschutz | Impressum | AGB | Warum GNU/Linux? |

(c) copyright 2003 - 2011 MARE system Kiel
(Icons by DryIcons )