security newsletter
Transcrição
security newsletter
03.03.14, 45990/Best.-Nr. 410416 SECURITY NEWSLETTER 05 14 Analysen und Lösungen zu aktuellen Gefahren für die Daten- und Netzwerksicherheit Editorial Inhalt Verlustrisiken von mobilen Geräten werden oft nicht ernstgenommen Alle Betriebssysteme Kommt ein beruflich genutztes Smartphone abhanden, so eröffnet sich dem Finder oder Dieb häufig ein Zugang zu Unternehmensdaten. In der Studie „2013 Mobile Enterprise Risk Survey“, für die 750 Erwachsene in Deutschland befragt wurden, die Mobiltelefone beruflich nutzen und in Unternehmen mit mehr als 1.000 Mitarbeitern beschäftigt sind, hat Absolute Software daher den Umgang von Unternehmen und Mitarbeitern mit den Risiken eines Verlusts von beruflich genutzten Mobiltelefonen untersucht. 8 Prozent der Befragten hatten bereits mindestens einmal den Verlust eines Smartphones zu verzeichnen. Dabei haben 21 Prozent den Verlust sofort bemerkt, 55 Prozent innerhalb von vier Stunden, 21 Prozent innerhalb von vier bis acht Stunden, und bei 3 Prozent dauerte es länger als acht Stunden. Die Vorkehrungen gegen derartige Schadensfälle sind jedoch oft unzureichend. Formelle Prozeduren beim Verlust eines Mobiltelefons sind meist nicht definiert oder werden nicht weitergegeben: Nur 36 Prozent der Befragten geben an, dass in ihrem Unternehmen entsprechende Vorschriften bestehen, die auch allen Smartphone-Nutzern bekannt gemacht worden seien. Auch hinsichtlich des Aufwands und der Kosten, die aus dem Verlust eines Smartphones entstehen können, haben die Befragten nur eine unzureichende Vorstellung. So schätzen 27 Prozent die Zeit, die es dauert, bis alle auf einem abhandengekommenen Smartphone gespeicherten Anwendungen, Inhalte oder Einstellungen wiederhergestellt sind, auf weniger als eine halbe Stunde. 23 Prozent veranschlagen dafür eine halbe bis eine Stunde, 18 Prozent sind da etwas realistischer und rechnen mit ein bis zwei Stunden. 20 Prozent veranschlagen dafür noch mehr Zeit; wer diese Arbeit schon einmal erledigen musste, weiß, dass dies viel eher zutreffend ist. 39 Prozent gehen außerdem davon aus, dass sie überhaupt nur die Hälfte oder weniger der Inhalte eines verlorenen Geräts ersetzen könnten. Frank Gotta Sicherheits-Update für den Adobe Shockwave Player verfügbar .......................................................................... 1 Mehrere Schwachstellen im Symantec Web Gateway ..... 2 Adobe bessert Flash Player und AIR nach ....................... 2 Windows Microsoft patcht im Februar............................................. 2 Verwundbarer Symantec Endpoint Protection Manager .. 3 Unix/Linux Solaris: Neues zu Third-Party-Schwachstellen ................ 3 Cisco Viel Neues bei den Cisco Security Notices ...................... 3 Apple Apple patcht SSL-Schwachstelle nur teilweise ................ 4 Kurzmeldungen ................................................................ 5 Impressum ........................................................................ 6 Alle Betriebssysteme ■ Sicherheits-Update für den Adobe Shockwave Player verfügbar Betriebssystem Windows, Mac OS Software Adobe Shockwave Player 12.0.7.148 und früher Angriffe remotes Ausführen von Code, Denial of Service Schutz Software-Update Adobe hat Sicherheits-Updates für den Shockwave Player veröffentlicht, mittels derer sich zwei kritische Schwachstellen schließen lassen [1]. (fgo) Chefredakteur Security Newsletter 05/14 Seite 1 Problem Die jetzt angegangenen Sicherheitslücken resultieren aus Speicherfehlern und erlauben es einem nicht angemeldeten Angreifer, über das Netzwerk die Kontrolle über ein betroffenes System zu übernehmen. Empfehlung Das Update auf den Adobe Shockwave Player 12.0.9.149 ist erhältlich unter [2]. Information [1] http://helpx.adobe.com/security/products/shockwave/apsb14-06.html [2] http://get.adobe.com/shockwave/ ■ Mehrere Schwachstellen im Symantec Web Gateway Betriebssystem Software Angriffe Schutz Symantec Web Gateway Symantec Web Gateway Appliance 5.1.1 und früher Cross-Site Scripting, SQL Injection Software-Update Symantec hat Sicherheitslücken in seinem Appliance Web Gateway (SWG) gemeldet [1]. (fgo) Problem Die Schwachstellen im SWG resultieren aus Fehlern in der Management-Konsole und erlauben Cross-Site-Scriptingund SQL-Injection-Attacken, um eine Benutzersession zu übernehmen, Zugriff auf Daten der Management-Konsole zu erlangen oder Daten in der Backend-Datenbank zu manipulieren. Empfehlung Symantec stellt über die üblichen Support-Kanäle ein korrigierendes Update auf Web Gateway Version 5.2 zur Verfügung. Information [1] http://www.symantec.com/security_response/securityu pdates/detail.jsp?fid=security_advisory&pvid=security_a dvisory&year=2014&suid=20140210_00 ■ Adobe bessert Flash Player und AIR nach Betriebssystem Windows, Mac OS, Android Software Adobe Flash Player 12.0.0.44 und früher (Windows und Mac OS), 11.2.202.336 und früher (Linux); Adobe AIR 4.0.0.1390 und früher (Android), 3.9.0.1390 SDK und früher, 3.9.0.1390 SDK & Compiler und früher Angriffe remotes Ausführen von Code, Umgehen von Sicherheitsfunktionen Schutz Software-Update Mehrere Schwachstellen in den aufgeführten Adobe-Produkten erlauben unter anderem die unbefugte Codeausführung, wobei diese Lücke aktiv ausgenutzt wird [1]. (fgo) Problem Die Angriffsmöglichkeiten eröffnen sich durch Fehler in der Speicherverwaltung sowie durch einen Pufferüberlauf. Zudem wird der Zugriff auf Adressinformationen nicht verhindert, was es Angreifern erleichtert, den ASLRSchutzmechanismus auszuhebeln. Empfehlung Folgende aktualisierte und fehlerbereinigte Programmversionen stehen zum Download bereit: Adobe Flash Player 11.7.700.269 bzw. 12.0.0.70 (Windows und Mac OS), Flash Player 11.2.202.341 (Linux), Flash Player 12.0.0.70 (Chrome und IE), Adobe AIR 4.0.0.1628 SDK, AIR 4.0.0.1680 SDK & Compiler und Adobe AIR 4.0.0.1628 (Android). Information [1] http://helpx.adobe.com/security/products/flash-player/apsb14-07.html Windows ■ Microsoft patcht im Februar Betriebssystem Windows Software Microsoft XML Core Services, IPv6, Direct2D, Microsoft Forefront Protection für Exchange, .NET Framework, Internet Explorer, VBScript Angriffe remotes Ausführen von Code, Denial of Service, Zugriff auf sensible Informationen, Erhöhen von Rechten Software-Update Schutz Für den offiziellen Patchday hat Microsoft fünf neue Security Bulletins angekündigt – geworden sind es letztlich sieben. Vier davon behandeln als „kritisch“ eingestufte Sicherheitslücken. (fgo) Problem 1. Ein Fehler der XML Core Services führt dazu, dass der Internet Explorer domänenübergreifende Richtlinien nur unzureichend durchsetzt. In der Folge kann ein Angreifer Dateien im lokalen Dateisystem eines Benutzers oder Inhalte von Webdomänen lesen, bei denen der Benutzer derzeit authentifiziert ist (MS14-005) [1]. 2. Die Implementierung von IPv6 weist eine Sicherheitslücke auf, die zu Denial-of-Service-Attacken missbraucht werden kann, wenn ein Angreifer eine große Zahl manipulierter IPv6-Pakete an ein betroffenes System sendet und sich im selben Subnetz befindet wie das Zielsystem (MS14-006) [2]. 3. Durch das Aufrufen einer präparierten Webseite mit dem Internet Explorer kann vom Server aus eine Schwachstelle in Windows Direct2D aktiviert werden, die Angreifern die remote Ausführung von Code erlaubt (MS14-007) [3]. 4. In Microsoft Forefront Protection 2010 für Exchange Server existiert eine Sicherheitslücke, die sich über manipulierte E-Mails zur unbefugten Codeausführung missbrauchen lässt (MS14-008) [4]. 5. Drei Schwachstellen im .NET Framework lassen sich im schwerwiegendsten Fall von Angreifern ausnutzen, um sich höhere Rechte an einem betroffenen System zu verschaffen (MS14-009) [5]. 6. Nicht weniger als 24 Sicherheitslücken behebt das kumulative Update für den Internet Explorer. Unter anderem lassen sie sich zur Ausführung von Code auf anfälligen Systemen oder zur Rechteerhöhung missbrauchen (MS14-010) [6]. 7. Eine Schwachstelle in der VBScript Scripting Engine ermöglicht das Ausführen von Code, wenn eine speziell präparierte Webseite aufgerufen wird (MS14-011) [7]. Seite 2 Security Newsletter 05/14 Empfehlung Die jetzt bereitgestellten Updates können entweder über die Bulletins geladen oder über die Funktion MicrosoftUpdate installiert werden. Ausnahme ist das Update für Microsoft Forefront Protection 2010 für Exchange Server, das nur im Microsoft Download Center verfügbar ist. Information [1] http://technet.microsoft.com/en-us/security/bulletin/ms14-005 [2] http://technet.microsoft.com/en-us/security/bulletin/ms14-006 [3] http://technet.microsoft.com/en-us/security/bulletin/ms14-007 [4] http://technet.microsoft.com/en-us/security/bulletin/ms14-008 [5] http://technet.microsoft.com/en-us/security/bulletin/ms14-009 [6] http://technet.microsoft.com/en-us/security/bulletin/ms14-010 [7] http://technet.microsoft.com/en-us/security/bulletin/ms14-011 ■ Verwundbarer Symantec Endpoint Protection Manager Betriebssystem Windows Software Symantec Endpoint Protection Manager 11.x, 12.x; Symantec Protection Center Small Business Edition 12.x Angriffe Ausführen von Funktionen, SQL Injection, Zugriff auf sensible Informationen Schutz Software-Update Symantec hat Sicherheitslücken in seinem Produkt Endpoint Protection Manager dokumentiert [1]. (fgo) Problem 1. XML-Daten, die an die Managementkonsole über TCPPort 9090 oder 8443 gesendet werden, werden vor einer Verarbeitung nicht ausreichend geprüft Das erlaubt es remoten Angreifern ohne Authentifizierung, sich Zugriff auf Serverdateien und -funktionen zu verschaffen. 2. Eine unzureichende Überprüfung lokaler SQL-Anfragen erlaubt Angreifern mit Zugriff auf die Managementkonsole das Ausführen beliebiger SQL-Befehle. Empfehlung Symantec empfiehlt ein Update auf Endpoint Protection Manager Version 11.0 RU7-MP4a (11.0.7405.1424) bzw. 12.1 RU4a (12.1.4023.4080), in denen der Fehler korrigiert wurde. Information [1] http://www.symantec.com/security_response/securityu pdates/detail.jsp?fid=security_advisory&pvid=security_a dvisory&year=2014&suid=20140213_00 Unix ■ Solaris: Neues zu Third-Party-Schwachstellen Betriebssystem Solaris 10, 11.1 Software Kerberos, Texinfo, Samba Angriffe remotes und lokales Ausführen von Code, Umgehen von Sicherheitsfunktionen, Denial of Service Schutz Software-Update Problem Von den neu erschienen Meldungen sind folgende Programme anderer Hersteller betroffen: • Kerberos: Fehlerhafte Validierung von Inhalten (Solaris 11.1), Denial of Service (Solaris 10) [1] • Texinfo: lokales Ausführen von Code (Solaris 10 und 11.1; noch keine Patches erhältlich) [2] • Samba: remotes Ausführen von Code [3] und Umgehen von Sicherheitsfunktionen [4] (Solaris 10 und 11.1; noch keine Patches erhältlich) Empfehlung Über die jeweiligen Einträge im Third Party Vulnerability Resolution Blog sind die Links zu den bereitgestellten Updates verfügbar. Information [1] https://blogs.oracle.com/sunsecurity/entry/multiple_vul nerabilities_in_kerberos1 [2] https://blogs.oracle.com/sunsecurity/entry/cve_2012_6 150_input_validation [3] https://blogs.oracle.com/sunsecurity/entry/cve_2013_4 408_buffer_errors [4] https://blogs.oracle.com/sunsecurity/entry/cve_2012_6 150_input_validation Cisco ■ Viel Neues bei den Cisco Security Notices Betriebssystem Cisco und andere Software Cisco Unified Communications Manager, Cisco AsyncOS, IP Phone CTL, Cisco Adaptive Security Appliance (ASA), Cisco Network Time Protocol Angriffe Cross-Site Scripting, Umgehen von Sicherheitsfunktionen, Zugriff auf sensible Daten, SQL Injection, Erhöhen von Rechten, Denial of Service Schutz Software-Update Die Sicherheitsnotizen von Cisco, mit der der Hersteller Schwachstellen dokumentiert, die seiner Meinung nach lediglich eine niedrige bis mittlere Gefährdung darstellen, haben wieder reichlich Zulauf bekommen. (fgo) Problem • Cisco Unified Communications Manager (UCM): Die Applikation log4jinit kann durch Umgehen der Authentifizierung unberechtigt ausgeführt werden [1]. Der Cisco IP Manager Assistant (IPMA) weist CrossSite-Scripting-Schwachstellen [2], [9] und eine SQLInjection-Sicherheitslücke [3] auf. Authentifizierte remote Angreifer haben aufgrund eines Fehlers im Admin-Interface unbefugt Dateizugriff [4]. • Der Unified CallManager Interactive Voice Response (CMIVR) des UCM ist für SQL Injection anfällig [5], ebenso die Java-Datenbankschnittstelle [6], das Enterprise Mobility Application (EMApp) Interface [7] und die Certificate Authority Proxy Function (CAPF) [10]. Der Third Party Vulnerability Resolution Blog führt Schwachstellen in Software anderer Hersteller auf, die unter Solaris zum Einsatz kommt. (fgo) Security Newsletter 05/14 Seite 3 • Es besteht die Möglichkeit, unbefugt auf WAR-Dateien (Web ARchive) des UCM zuzugreifen [8]. Unbefugte Datenzugriffe erlaubt auch ein Fehler im Real Time Monitoring Tool (RTMT) [11]. Weiterhin können im UCM unbefugt Java-Files ausgeführt werden [12]. Und Angreifer können über das Netz unbefugt auf ELMDateien (Enterprise License Manager) zugreifen [13]. • Die Cisco Unified Computing System Central Software erlaubt einem lokalen, authentifizierten Angreifer die Rechteerhöhung [14]. • Eine Schwachstelle in der Call Detail Records (CDR) Analysis and Reporting (CAR) Seite des Cisco Unified CM ermöglicht Cross-Site-Request-Forgery-Attacken [15]. • Cisco AsyncOS: Eine Schwachstelle im Web-Framework erlaubt Cross-Site-Scripting-Attacken auf die Cisco Content Security Management Appliance (SMA) oder die Cisco Email Security Appliance (ESA) [16]. • Ein Fehler bei der Verifizierung der Certificate Trust List (CTL) für die IP-Phones von Cisco der dritten Generation erlaubt die Manipulation der Daten und damit ein Umgehen von Sicherheitsfunktionen [17]. Ein ähnlicher Fehler liegt in der Phone-Proxy-Funktion der Cisco Adaptive Security Appliance (ASA) vor [18], die es zudem über eine Sicherheitslücke erlaubt, unbefugt auf Daten zuzugreifen [19]. • In der Implementierung des Cisco Network Time Protocol, die in zahlreichen Cisco-Produkten zum Einsatz kommt, liegt eine remote ausnutzbare DoS-Schwachstelle vor [20]. Empfehlung Cisco stellt korrigierende Updates bzw. Upgrades über seinen Support-Channel zur Verfügung. Information [1] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0722 [2] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0723 [3] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0726 [4] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0724 [5] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0727 [6] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0728 [7] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0729 [8] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0725 [9] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2014-0735 [10] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0734 [11] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0732 [12] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0731 [13] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0733 [14] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0730 [15] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0736 Seite 4 [16] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2013-3396 [17] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0737 [18] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0738 [19] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2014-0739 [20] http://tools.cisco.com/security/center/content/CiscoSe curityNotice/CVE-2013-5211 Apple ■ Apple patcht SSL-Schwachstelle nur teilweise Betriebssystem iOS 6.x und 7.x, Apple TV, Mac OS X 10.9.1 Software SSL Angriffe Umgehen von Sicherheitsfunktionen, Zugriff auf sensible Inhalte Schutz teilweise Software-Update Betriebssysteme von Apple weisen eine Schwachstelle auf, über die Hacker unbefugt auf Daten aus E-Mails und anderen Kommunikationsdiensten zugreifen können. Apple hat für seine Mobilgeräte iPhone, iPod touch und iPad sowie für die Apple-TV-Geräte eine Software-Aktualisierung veröffentlicht, die diese sicherheitsrelevante Schwachstelle schließen soll. (fgo) Problem Der Fehler tritt bei der Überprüfung von Signaturen der Zertifikate auf, die zur Verschlüsselung bei der Datenübertragung etwa per E-Mail eingesetzt werden. In der Folge kann es passieren, dass beim Aufbau sicherer SSL-Verbindungen falsche Zertifikate akzeptiert werden, wodurch Angreifer, die sich als Man in the Middle einklinken, sich Zugriff auf übermittelte Informationen verschaffen können. Empfehlung Das Betriebssystem iOS sollte nach seiner automatischen Aktualisierung um die entsprechende Fehlerkorrektur die Versionsnummer 7.0.6 [1] bzw. 6.1.6 [2] aufweisen. Das Software-Update für Apple TV weist die Version 6.0.2 aus [3]. Das Betriebssystem Mac OS X 10.9.1 soll ebenfalls betroffen sein, hierfür gibt es allerdings noch kein korrigierendes Update. Ob ein über ein Apple-Gerät genutzter Browser die Schwachstelle aufweist, kann über eine Testseite [4] überprüft werden. Information [1] http://support.apple.com/kb/HT6147 [2] http://support.apple.com/kb/HT6146 [3] http://support.apple.com/kb/ht4448 [4] https://gotofail.com/ Security Newsletter 05/14 Kurzmeldungen [1] http://www.sophos.com/enus/support/knowledgebase/2300/7200/1031/120401.aspx Alle Betriebssysteme Internet Explorer 9 und 10: unbefugte remote Codeausführung möglich IBM Domino: Schwachstelle erlaubt DoS-Attacke Der IMAP-Server in IBM Domino 8.5.x und 9.0.x für alle unterstützten Plattformen weist eine nicht näher definierte Schwachstelle auf, die von remoten Angreifern zu einer Denial-of-Service-Attacke auf den Server missbraucht werden kann [1]. IBM hat Interim-Fixes veröffentlicht, mittels derer sich diese Sicherheitslücke schließen lässt. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21663023 Google Chrome: 28 Sicherheitslücken gestopft Die stattliche Zahl von 28 sicherheitsrelevanten Fehlern behebt Google mit dem Update seines Browsers Chrome auf Version 33.0.1750.117 für Windows, Mac OS und Linux [1]. Werden diese Fehler erfolgreich ausgenutzt, ist es Angreifern möglich, eigene Dateien auf einem Zielsystem auszuführen, Cross-Site-Scripting-(XSS-)Angriffe zu unternehmen, Webinhalte mit den Rechten des vorherigen Benutzers abzurufen oder Sicherheitsfunktionen zu umgehen [2]. (fgo) [1] https://www.google.com/intl/de/chrome/browser/ [2] http://googlechromereleases.blogspot.de/2014/02/stabl e-channel-update_20.html Subversion: Schwachstelle erlaubt Denial-of-Service-Angriffe Subversions Apache-HTTPD-Servermodul mod_dav_svn stürzt ab, wenn es eine OPTIONS-Anfrage gegen die Root des Servers erhält und wenn Subversion so konfiguriert ist, dass die Server-Root bearbeitet und die Option SVNListParentPath aktiviert ist. Das kann zu einem Denial of Service über das Netzwerk ausgenutzt werden. Verbesserte Pakete stehen zur Verfügung [1]. (ml) [1] http://subversion.apache.org/security/CVE-2014-0032-advisory.txt Schwachstelle in CA 2E Web Option CA Technologies weist auf ein potenzielles Risiko in CA 2E Web Option (C2WEB) hin [1]. Hier besteht eine Schwachstelle bei der Authentifizierung, die von Angreifern zu einem sogenannten Session-Predicion-Angriff ausgenutzt werden kann. Der Grund hierfür ist der Einsatz eines vorhersagbaren Session-Tokens. Ein nicht authentifizierter Angreifer kann das Session-Token verändern, um so privilegierten Zugang zu einer gültigen Session zu erhalten. CA Technologies hat Fixes herausgegeben, mit denen diese Lücke geschlossen wird. (ml) [1] https://support.ca.com/irj/portal/anonymous/phpsupco ntent?contentID={D4133999-9759-4C47-9C1C-C9E387151569} Windows Schwachstelle der Sophos Anti-Virus Engine (SAVi) tangiert diverse Produkte Eine nicht näher beschriebene Schwachstelle in mehreren Sophos-Produkten für Windows kann Angreifern erfolgreiche Denial-of-Service-Angriffe oder die Manipulation von „Ready for Update“-Nachrichten ermöglichen. Betroffen sind die Produkte Sophos for Microsoft SharePoint, Sophos Anti-Virus for Windows 2000+, SAV Interface, SAV Dynamic Interface, PureMessage for Microsoft Exchange, PureMessage for Lotus Domino [1]. (fgo) Security Newsletter 05/14 Eine Sicherheitslücke im Internet Explorer 9 und 10 ermöglicht es einem nicht angemeldeten remoten Angreifer, die Kontrolle über ein verwundbares System zu erlangen [1]. Systeme, auf denen das Enhanced Mitigation Experience Toolkit (EMET) installiert und konfiguriert ist, sind nicht anfällig. Grundsätzlich empfiehlt Microsoft Nutzern des IE 9 oder 10 ein Upgrade auf Version 11, ansonsten steht ein Fix-It-Tool [2] zur Verfügung. (fgo) [1] http://technet.microsoft.com/en-us/security/advisory/2934088 [2] https://support.microsoft.com/kb/2934088#FixItForMe Unix Samba-Schwachstellen tangieren IBM Lotus Foundations Die von Lotus Foundations Start 1.2.2c und früher genutzte Version von Samba weist mehrere Schwachstellen auf, die es einem remoten Angreifer erlauben, sich höhere Privilegien am System zu verschaffen [1]. Ein Upgrade auf Lotus Foundations in der Version 1.2.2d oder später behebt laut IBM das Problem. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21660405 Mehrere Schwachstellen in Xen Zum Hypervisor Xen sind mehrere neue Schwachstellenbulletins erschienen: Integer-Überläufe in verschiedenen XSM/Flask-Hypercalls erlauben DoS-Attacken [1]. Eine Schwachstelle in Xen im FLASK_AVC_CACHESTAT Hypercall lässt sich missbrauchen, um unbefugt auf Informationen zuzugreifen [2]. Dann erlaubt ein Fehler in der genutzten Version der Bibliothek libvchan die Provokation eines Denial of Service sowie wahrscheinlich auch die Erhöhung von Rechten an einem betroffenen System [3]. Ein DoS kann möglich werden durch einen Fehler in der Funktion PHYSDEVOP_{prepare,release}_msix [4]. Und eine Sicherheitslücke bei der Fehlerbehandlung der Funktion xc_cpumap_alloc() erlaubt es Angreifern im schwerwiegendsten Fall, eigene Befehle auf einem Zielsystem auszuführen. In allen Fällen sind korrigierende Patches verfügbar. (fgo) [1] http://xenbits.xen.org/xsa/advisory-84.html [2] http://xenbits.xen.org/xsa/advisory-85.html [3] http://xenbits.xen.org/xsa/advisory-86.html [4] http://xenbits.xen.org/xsa/advisory-87.html [5] http://xenbits.xen.org/xsa/advisory-88.html Cisco Unbefugter Zugriff auf Cisco Unified SIP Phone 3905 Das Cisco Unified SIP Phone 3905 weist eine Schwachstelle auf, die es einem remoten, nicht authentifizierten Angreifer erlaubt, mit „root-level“-Rechten auf das Gerät zuzugreifen. Diese Schwachstelle wurde mit Cisco Unified SIP Phone 3905 Firmware Release 9.4(1) behoben [1]. (fgo) [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20140219-phone Seite 5 Default-Passwort bei Cisco UCS Director Bei der Installation der Cisco UCS Director Software vor Version 4.0.0.3 wird ein Default-Passwort für Root gesetzt. Das kann ein remoter, nicht authentifizierter Angreifer nutzen, um sich über die Kommandozeile den vollständigen Systemzugriff zu verschaffen. Abhilfe schafft das Einspielen des Cisco UCS Director Release Hotfix 4.0.0.3 [1]. (fgo) [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20140219-ucsd Cisco Firewall Services Module mit DoS-Schwachstelle Die Cisco Firewall Services Module (FWSM) Software für Cisco Catalyst 6500 Series Switches und Cisco 7600 Series Router weist eine Schwachstelle auf, die remote, nicht authentifizierte Angreifer über manipulierte Daten nutzen können, um einen Reboot der Firewall zu veranlassen. Korrigierte Software-Versionen sind herstellerseitig verfügbar [1]. (fgo) [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20140219-fwsm Diverse DoS-Schwachstellen in der Cisco-IPS-Software Das Cisco Intrusion Prevention System (IPS) 6.x und 7.x, das bei diversen Cisco-Lösungen zum Einsatz kommt, weist Denial-of-Service-Sicherheitslücken in den Komponenten IPS Analysis Engine, IPS Control-Plane MainApp und IPS Jumbo Frame auf, die sich durch remote, nicht authentifizierte Angreifer missbrauchen lassen. Vonseiten des Herstellers stehen fehlerbereinigte Versionen zur Verfügung [1]. (fgo) [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20140219-ips Impressum Verlag: WEKA MEDIA GmbH & Co. KG Römerstraße 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 http://www.weka.de Herausgeber: WEKA MEDIA GmbH & Co. KG Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin: WEKA Business Information GmbH & Co. KG und als Komplementär: WEKA MEDIA Beteiligungs-GmbH Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland Redaktion: Chefredakteur: Frank Gotta (fgo) Redakteure: Dr. Matthias Leu (ml), Frank Zinkand (fzi) [email protected] Erscheinungsweise: Der Security Newsletter erscheint 14-tägig. Abonnentenhotline: [email protected] Tel.: 0 82 33.23-73 23 Fax: 0 82 33.23-72 36 Abonnentenverwaltung: Kundenservice Römerstr. 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 ISBN: 3-8245-0410-3 Preis und Laufzeit des Abonnements: Der Abonnementpreis für ein halbes Jahr (mind. 12 Ausgaben) beträgt 148,00 € (inkl. Versand, zzgl. MWST). Das Abonnement gilt für ein halbes Jahr (mind. 12 Ausgaben) und verlängert sich automatisch um ein weiteres halbes Jahr, wenn nicht 4 Wochen vor Ablauf der Bezugszeit schriftlich gekündigt wird. Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Titel und alle in ihm enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar. Unter http://www.weka.de/it-security/10317556-%7Eitsecuritynewsletter%7Efsc_formular.html haben Sie mit dem aktuellen Freischaltcode loccaupo Zugriff aufs Archiv. Seite 6 Security Newsletter 05/14