Aktuelle Sicherheitslücken
URL: https://www.overclockers.at/applications/aktuelle-sicherheitsluecken_238671/page_1 - zur Vollversion wechseln!
Hansmaulwurf schrieb am 20.04.2014 um 11:17
Hiho,
Nachdem ja des öfteren in letzter Zeit größere Sicherheitslücken bekannt wurden (durch Heartbleed und Konsorten) dachte ich mach hier mal einen Thread für "kleinere", also wenn irgendwann mal eine Library oder ein Programm verwundbar ist, das relativ viele verwenden. (Sowie samba, irgendwelche mediaserver, ..)
Grund ist eigentlich das hier:
Falls sich irgendwer erinnern kann, es gab zu Weihnachten einen Typen der zum Spaß ein Backdoor in seinem Router gesucht hat, und das TCP-Port 32764 Backdoor gefunden hat. Jetzt hat er zu Ostern festgestellt das das Backdoor gepached wurde und dafür ein anderes Backdoor eingebaut wurde 
http://www.synacktiv.com/ressources...kdoor_again.pdf
Smut schrieb am 20.04.2014 um 12:28
aktuell:
Java SE update würde ich vorschlagen für alle die es wirklich brauchen.
4x critical Remote Code Exekution.
JRE 1.6 -> end of life (deinstallieren - außer es gibt einen Grund)
JRE 1.7 -> Upgrade auf 1.7 u55
JRE 1.8 -> ebenfalls updaten
klarerweise ist auch das JDK betroffen. Schlimmer ist aber die JRE, da die Plugins im Browser geladen werden. Chrome fragt immerhin nach ob Java ausgeführt werden soll. IE ist anfällig auf Drive by Downloads - bei einem erfolgreichen exploit bekommt man 0 mit. Virenscanner helfen hier Imho auch nix, da die Signaturen nicht bekannt sind.
Smut schrieb am 22.04.2014 um 15:02
iOS Devices mit Jailbreak sind ev. gefährdet
http://www.iphonehacks.com/2014/04/...en-devices.html
This malware appears to have Chinese origin and comes as a library called Unflod.dylib that hooks into all running processes of jailbroken iDevices and listens to outgoing SSL connections.From these connections it tries to steal the device’s Apple-ID and corresponding password and sends them in plaintext to servers with IP addresses in control of US hosting companies for apparently Chinese customers.
how to remove:
To find out if you’re infected by the malware, navigate to the following folder using iFile:
/Library/MobileSubstrate/DynamicLibraries/ and check if there is a Unflod.dylib library in that location.
Alternatively, Esser is also advising that users could run a grep command to check if they’re infected:
So I guess it would help if those infected by this try to do a "grep -R 'WANG XIN' /Applications/" on their systems
Genaue Analyse
Smut schrieb am 29.04.2014 um 10:15
Ansich ist es ja nichts besonderes, es gibt wieder einen Zero-day für Microsofts Internet Explorer. Problematisch ist diesesmal nur, dass windows XP mit hoher Wahrscheinlichkeit auch betroffen ist. Microsoft gibt dazu aber keine Infos mehr, da XP end of life ist. IE6 am Server 2003 ist allerdings betroffen 
Fireeye, die den Exploit entdeckt haben, sprechen von Internet Explorer 9-11.
Quelle: Fireeye
MS: MS Security Advisor
Mein Tipp:
verwendet unbedingt Microsoft EMET (Enhaned Mitigation Expirience Toolkit) setup braucht keine 30 sekunden.
EMET Sichert mit den Default-Settings den IE/Office/Adobe Reader sehr gut gegen Zero-Days ab. Vorallem unter XP abslutes Must-Have.
EMET ist eine Mitigationsstrategie, mit der man besonders gefährdete Programme absichern kann. Meiner Erfahrung nach gibt es nur wenige Kompatibilitätsprobleme. Wenn EMET einen Aufruf verhindert erhält man sofort ein EMET-Popup, dass darauf hinweist. Somit kann man schnell False positives rausfinden -> in der Regel macht z.b DEP Probleme mit Office-Plugins.
Beim IE schlägt DEP ebenfalls bei Plugins an -> nur diese Plugins (toolbars etc.) würde ich entfernen.
Hansmaulwurf schrieb am 13.05.2014 um 12:43
Bug im Linux-Kernel:
betroffen sind anscheinend "alle Kernel-Versionen von 2.6.31-rc3 bis zur aktuellen Stable-Version 3.14.3 und der Mainline-Version 3.15-rc5."
http://www.heise.de/open/meldung/Sc...le-2187501.html
wergor schrieb am 25.09.2014 um 08:59
"Bashbleed"
http://heise.de/newsticker/meldung/...de-2403305.html
Die großen Linux-Distributionen sind momentan dabei, eine von den Entwicklern des Bash-Projektes als kritisch eingestufte Sicherheitslücke zu stopfen. Diese bedroht vor allem Webserver und erlaubt das Ausführen von beliebigem Schadcode aus dem Netz.
Betrifft fast alle linux- distris und unix- und BSD versionen.
Neo-=IuE=- schrieb am 25.09.2014 um 09:39
Der Super-GAU...
Damit mein ich vor allem Systeme die auf eben *nix-Systemen aufsetzen aber sehr angepasst wurden. z.b. auch Security-Systeme.
Warum ist es dort schlimmer? -> Weil dort die Updates meist nicht so leicht von der Hand gehen wie auf einer normalen Distri....
Smut schrieb am 25.09.2014 um 09:44
supergau ist es imho nicht.
problematisch sind server auf denen man unauthenticated remote code ausführen kann -> sprich webserver die irgendwas mit mod-cgi machen. generell ist natürlich alles betroffen, das auf die bash zurückgreift, ausnutzbar ist es imho nur bei wenigen.
es lässt sich auch sehr leicht fixen - WENN ein patch verfügbar ist.
auf einer Scala von 1-heartbleed ist das ca. 5 - imho
Smut schrieb am 25.09.2014 um 12:21
patch ist übrigens incomplete. ich schlage vor vorerst noch abzuwarten:
http://web.nvd.nist.gov/view/vuln/d...d=CVE-2014-7169
Hansmaulwurf schrieb am 25.09.2014 um 12:34
Kann irgendwer auf einem gepatchten Server (Also client + host gepached) mal ein "scp" probieren ? Vielleicht liegt der Fehler woanders, aber bisher ging es immer, jetzt meckert er..
(Explizit stört ihn, das er Programme (wc, scp) am Host nicht ausführen kann, die aber am Host definitiv im Pfad sind..)
COLOSSUS schrieb am 25.09.2014 um 12:45
patch ist übrigens incomplete. ich schlage vor vorerst noch abzuwarten:
http://web.nvd.nist.gov/view/vuln/d...d=CVE-2014-7169
Abwarten ist die absolut falsche Idee, weil arbitrary I/O redirection ist nicht weniger schlimm als arbitrary I/O redirection PLUS remote code execution...
Wichtig ist vor allem, /bin/sh auf einem System nicht ueber bash abzuwickeln, weil man dann auch bei allen C-Library-Funktionen aus der exec(3)-Familie (und allen Wrappern in anderen Sprachen wie Perl, PHP, etc.) verwundbar ist, die ueber die systemweite Shell Kommandos ausfuehren.
Unter Debian ist `dash` Standard, aber viele Leute moegen das oft nicht und switchen absichtlich (aus Komfortgruenden) zur bash. Noninteraktiv wieder auf dash zurueck kommt man dann (bei installierter dash) so:
echo "dash dash/sh boolean true" | debconf-set-selections; dpkg-reconfigure -f noninteractive dash
Smut schrieb am 25.09.2014 um 14:39
Abwarten ist die absolut falsche Idee, weil arbitrary I/O redirection ist nicht weniger schlimm als arbitrary I/O redirection PLUS remote code execution...
[/code]
ich denke es kommt auf den fall drauf an und wie exponiert das system ist.
wir stehen z.b. gerade vor der entscheidung bei einer 4 stelligen anzahl von servern, da kannst nicht mehr einfach drauf losgehen :/
bei einer handvoll servern würde ich es auch updaten. bei besonders exponierten ebenfalls.
mehr sorgen machen mir derzeit appliances udgl. da wird wohl erst im laufe der nächsten woche etwas kommen.
COLOSSUS schrieb am 25.09.2014 um 14:49
Wenn du in einer Situation bist, wo dir der bislang veroeffentliche Patch wurscht sein kann, dann bist du auch in einer Sitatuin, wo dir der korrigierte, vebresserte Patch, der noch in der Mache ist, wurscht sein kann. Wenn nicht, _MUSS_ man sich _JETZT_ was ueberlegen.
Wenn eure Infrastruktur darauf ausgelegt ist, dass ihr Sicherheitsupdates ueber die ganze Flotte, auch mit 10.000 Hosts, ausrollen koennt, ist es wohl egal, ob ihr jetzt 1.5M pro Host patcht und dann ein paar Stunden/Tage spaeter nochmal das gleiche macht. Wenn das wirklich ein ernsthaftes bzw. bedenkenswertes Problem fuer eure Infrastruktur darstellt, solltet ihr sie ueberdenken - was macht ihr z. B., wenn mal eine ganze JRE auf allen Hosts getauscht werden muss?
Smut schrieb am 25.09.2014 um 15:34
du hast prinzipiell recht aber zumindest redhat schreibt sie arbeiten dran, ETA gibt es leider keine.
wenn man davon ausgehen kann, dass bis heute abend/nacht kein Patch kommt, bin ich auch für die variante 2x zu patchen.
bei einzelsystemen: macht es einfach
Update: 2014-09-25 03:10 UTC
Red Hat has become aware that the patch for CVE-2014-6271 is incomplete. An attacker can provide specially-crafted environment variables containing arbitrary commands that will be executed on vulnerable systems under certain conditions. The new issue has been assigned CVE-2014-7169. Red Hat is working on patches in conjunction with the upstream developers as a critical priority. For details on a workaround, please see the FAQ below.
wergor schrieb am 25.09.2014 um 15:43
mein homeserver war schon gepatched als ich die news gelesen hab. cron job ftw 
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025