security newsletter
Transcrição
security newsletter
24.06.13, 45990/Best.-Nr. 410399 SECURITY NEWSLETTER 13 13 Analysen und Lösungen zu aktuellen Gefahren für die Daten- und Netzwerksicherheit Editorial Inhalt Identitätsdiebstahl als Sorgenkind Alle Betriebssysteme Fast drei Viertel aller Deutschen sind sehr besorgt, dass ihre persönlichen Daten gestohlen oder missbraucht werden. VMware meldet Schwachstellen in sudo für ESX ........... 1 Security-Updates für Adobe Flash Player und AIR ......... 2 Zwei Schwachstellen im IBM Sterling Control Center.... 2 Zahlreiche Sicherheitslücken in Wireshark...................... 2 Jährlich erfasst Unisys seinen Security-Index, der neben der persönlichen Sicherheit auch die Meinungen der Menschen zur nationalen, finanziellen und Internet-Sicherheit erfasst. Wie auch schon in den Jahren zuvor bleibt die Sorge Nummer eins der befragten Deutschen das Thema Identitätsdiebstahl. 73 Prozent sind extrem oder sehr besorgt darüber, dass ihre Daten in fremde Hände geraten. An zweiter Stelle folgt der Kreditkartenbetrug (65 Prozent haben extreme bzw. hohe Bedenken) und an dritter Stelle Computersicherheit (Viren und Spam-Attacken; 60 Prozent haben hier extreme bzw. hohe Bedenken). Windows Microsoft patcht im Juni .................................................. 3 Unix/Linux Schwachstelle in IBM AIX Inet erlaubt DoS-Attacken ... 3 Solaris: Neues aus dem Third Party Vulnerability Resolution Blog ............................................................... 3 Cisco Bei der Frage, zu welchen Branchen die Verbraucher bei der Sicherheit ihrer persönlichen Daten am wenigsten Vertrauen haben, schnitten Banken am schlechtesten ab. 81 Prozent zeigen sich sehr besorgt, dass hier die Datensicherheit verletzt werden könnte und ihre persönlichen Daten gefährdet sein könnten. 78 Prozent haben ähnliche Bedenken in Bezug auf Telekommunikations- und Internet-Service-Provider. Hingegen sehen 69 Prozent ihre Datensicherheit im Gesundheitswesen gefährdet. Gegenüber Einrichtungen der öffentlichen Hand sind zwei Drittel der Befragten in puncto Datensicherheitsverletzungen sehr besorgt. Neue Security-Notizen von Cisco .................................... 4 Grundsätzlich haben sich seit der letzten Erhebung im Frühjahr 2012 die Sicherheitsbedenken in Deutschland deutlich vergrößert. Lag der Wert im letzten Jahr bei 135 auf einer Skala von 300, erreicht er aktuell 153 Punkte, was insgesamt ernsthaften Sicherheitsbedenken entspricht. Der Indexwert für Internetsicherheit ist mit 165 am höchsten, für nationale Sicherheit mit 135 am niedrigsten. Alle Betriebssysteme Die vollständigen Daten der Security-Index-Studie für Deutschland und andere Länder lassen sich online unter: http://www.unisyssecurityindex.com abrufen. Frank Gotta Chefredakteur Security Newsletter 13/13 Mac OS Apple veröffentlicht sicherheitsrelevantes Update für Mountain Lion ............................................................ 4 Neue Safari-Version für Mac OS X ................................. 4 Kurzmeldungen ................................................................ 5 Impressum ........................................................................ 6 ■ VMware meldet Schwachstellen in sudo für ESX Betriebssystem Windows, Linux Software VMware ESX 4.0, 4.1 (sudo) Angriffe Ausführen von Code, Manipulation von Dateien Schutz Software-Update Im Security-Advisory VMSA-2013-0007 [1] adressiert VMware zwei Schwachstellen in der von ESX 4.0 und 4.1 genutzten Version von sudo. (fgo) Seite 1 Problem 1. Eine Race-Condition zwischen dem Löschen der Datei /var/tmp/nsswitch.conf.bak und ihrem Wiedererstellen erlaubt es lokalen Angreifern, beliebige Dateien zu überschreiben. 2. Einem nicht privilegierten Angreifer ist es möglich, Befehle von einem beliebigen Host aus auszuführen, obwohl dies in der Konfiguration mittels der Host_List untersagt ist. Empfehlung Ein korrigierender Patch für VMware ESX 4.0 ist verfügbar [2]. Die Korrektur für VMware ESX 4.1 steht noch aus. Information [1] http://www.vmware.com/security/advisories/VMSA-2013-0007.html [2] https://kb.vmware.com/kb/2044240 ■ Security-Updates für Adobe Flash Player und AIR Betriebssystem Windows, Mac OS, Linux, Android Software Adobe Flash Player 11.7.700.202 und früher (Windows, 11.7.700.203 und früher (Mac OS), 11.2.202.285 und früher (Linux), 11.1.115.58 und früher (Android 4.x), 11.1.111.54 und früher (Android 3.x und 2.x); Adobe AIR sowie Adobe AIR SDK & Compiler 3.7.0.1860 und früher (Windows, Mac OS, Android) Angriffe remotes Ausführen von Code, Denial of Service Schutz Software-Update Eine schwerwiegende Lücke in Flash Player wird von Adobe per Security-Update geschlossen. (fgo) Problem Laut Security-Bulletin APSB13-16 [1] kann in den aufgeführten Versionen der Software eine Speicherbeschädigung provoziert werden, die sich zu Denial-of-ServiceAttacken und im schwerwiegendsten Fall zur unbefugten Codeausführung missbrauchen lässt. Empfehlung Folgende Versionen von Flash Player sind jetzt aktuell und sollten eingespielt werden: 11.7.700.224 für Windows, 11.7.700.225 für Mac OS und 11.2.202.291 für Linux [2]; 11.1.115.63 für Android 4.x und 11.1.111.59 für Android 2.x und 3.x. Die neuen Versionsnummern für AIR: 3.7.0.2090 für Windows, 3.7.0.2100 für Mac OS [3] und 3.7.0.2090 für Android. Für AIR SDK & Compiler sind nun 3.7.0.2090 für Windows und 3.7.0.2100 für Mac OS [4] aktuell. Information [1] http://www.adobe.com/support/security/bulletins/apsb13-16.html [2] http://www.adobe.com/go/getflash [3] http://get.adobe.com/air/ [4] http://www.adobe.com/devnet/air/air-sdk-download.html Seite 2 ■ Zwei Schwachstellen im IBM Sterling Control Center Betriebssystem AIX, HP-UX, Linux, Solaris, Windows Software IBM Sterling Control Center 5.x Angriffe Denial of Service, Cross-Site Scripting Schutz Software-Update IBM meldet zwei Sicherheitslücken in seiner SoftwareLösung Sterling Control Center. (fgo) Problem 1. Wenn Anwender per SCC auf eine umfangreiche Datei zugreifen, die keine EOL-Zeichen enthält, kann es zu einem Denial of Service kommen. 2. Eine unzureichende Filterung von Inhalten, die von Benutzern übermittelt werden, kann zu einer erfolgreichen Cross-Site-Scripting-Attacke missbraucht werden. Empfehlung Zur Korrektur empfiehlt IBM das Einspielen der Versionen Control Center 5.2.09, Sterling Control Center 5.3.0.4 oder Sterling Control Center 5.4.0.1. Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21640348 ■ Zahlreiche Sicherheitslücken in Wireshark Betriebssystem alle Systeme Software Wireshark vor 1.6.16, vor 1.8.8 Angriffe remotes Ausführen von Code, Denial of Service Schutz Software-Update Beim beliebten Netzwerk-Sniffer Wireshark besteht in den Versionen vor 1.6.16 [1] bzw. vor 1.8.8 [2] Nachbesserungsbedarf. (fgo) Problem Eine schwerwiegende Sicherheitslücke im File-Parser für Ixia IxVeriWave kann durch manipulierte Datenpakete ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu provozieren und in der Folge unbefugt Code auszuführen. Zudem weist eine ganze Reihe von Dissektoren Fehler auf, die durch manipulierte Datenpakete zu Denialof-Service-Attacken missbraucht werden können. Betroffen sind die Dissektoren für CAPWAP, GMR-1 BCCH, PPP, NBAP, RDP, GSM CBCH, Assa Abloy R3 und HTTP. Empfehlung Updates auf Wireshark 1.6.16 bzw. Wireshark 1.8.8 korrigieren diese Probleme. Aktuelles stabiles Release ist Wireshark ist 1.10.0 [3]. Information [1] http://www.wireshark.org/docs/relnotes/wireshark-1.6.16.html [2] http://www.wireshark.org/docs/relnotes/wireshark-1.8.8.html [3] http://www.wireshark.org/download.html Security Newsletter 13/13 Windows Unix ■ Microsoft patcht im Juni ■ Schwachstelle in IBM AIX Inet erlaubt DoS-Attacken Betriebssystem Windows Software Microsoft Internet Explorer, Kernel, Kernel-Mode-Treiber, Windows Print Spooler, Microsoft Office 2003 SP3 Angriffe remotes Ausführen von Code, Denial of Service, Zugriff auf sensible Informationen, Erhöhen von Rechten Schutz Software-Update Mit fünf neuen Security-Bulletins wartet Microsoft am offiziellen Patchday im Juni auf. Allein in den diversen Versionen des Internet Explorer werden dabei 19 Schwachstellen angegangen. (fgo) Betriebssystem Software Angriffe Schutz AIX 6.1, 7.1 Inet Denial of Service Software-Update Eine Schwachstelle in IBM AIX Inet erlaubt remote Denial-of-Service-Angriffe [1]. (fgo) Problem Der Fehler in IBM AIX Inet tritt auf, wenn eine IPv6Adresse auf allen Netzwerkschnittstellen konfiguriert ist. Durch das Senden manipulierter IPv6-Pakete kann ein remoter Angreifer, der diese Schwachstelle ausnutzt, einen Denial of Service provozieren. Problem 1. Das kumulative Update für den Internet Explorer in den Versionen 6 bis 10 umfasst Korrekturen für insgesamt 19 Sicherheitslücken. Werden diese erfolgreich ausgenutzt, können Angreifer im schwerwiegendsten Fall remote Code auf einem Zielsystem zur Ausführung bringen (MS13-047) [1]. Empfehlung IBM stellt APARs zur Verfügung, um das Problem zu beheben. Die entsprechenden Links zum Download finden sich in der Herstellermeldung. 2. Im Kernel von Windows existiert eine Schwachstelle, die es lokalen, am System angemeldeten Angreifern erlaubt, unbefugt auf sensible Informationen zuzugreifen, die sich für weiterführende Angriffe missbrauchen lassen (MS13-048) [2]. ■ Solaris: Neues aus dem Third Party Vulnerability Resolution Blog 3. Der Windows-Kernel-Mode-Treiber lässt sich durch manipulierte Pakete über das Netzwerk so irritieren, dass ein Denial of Service ausgelöst werden kann (MS13-049) [3]. 4. Im Microsoft Windows Print Spooler können sich lokale Anwender unbefugt erweiterte Rechte verschaffen (MS13-050) [4]. 5. Microsoft Office 2003 SP3 zeigt eine Schwachstelle, die beim Öffnen von Office-Dokumenten mit Microsoft Outlook oder bereits bei der Vorschau die Ausführung von Code mit den Rechten des betroffenen Benutzers erlaubt (MS13-051) [5]. Empfehlung Die zur Fehlerkorrektur bereitgestellten Updates können entweder über die Bulletins geladen oder über die Funktion Microsoft-Update installiert werden. Information [1] http://technet.microsoft.com/en-us/security/bulletin/ms13-047 [2] http://technet.microsoft.com/en-us/security/bulletin/ms13-048 [3] http://technet.microsoft.com/en-us/security/bulletin/ms13-049 [4] http://technet.microsoft.com/en-us/security/bulletin/ms13-050 [5] http://technet.microsoft.com/en-us/security/bulletin/ms13-051 Information [1] http://aix.software.ibm.com/aix/efixes/security/inet_advisory.asc Betriebssystem Solaris 9, 10, 11.1 Software OpenSSL, GNU Grep, libxml2, Apache HTTP Server, sudo Angriffe remotes Ausführen von Code, Denial of Service, Cross-Site Scripting, Umgehen von Sicherheitsfunktionen Schutz Software-Update Der Third Party Vulnerability Resolution Blog von Oracle führt neue Schwachstellen in Software und Komponenten auf, die auf Solaris-Systemen genutzt werden. (fgo) Problem 1. In Solaris OpenSSL liegen zwei Sicherheitslücken vor, die den Zugriff auf verschlüsselte Daten sowie Denialof-Service-Attacken erlauben. Patches sind für Solaris 10 und 11.1 verfügbar, der für Solaris 9 ist angekündigt [1]. 2. In GNU Grep vor Version 2.11 lässt sich ein Pufferüberlauf provozieren. Der lässt sich im schwerwiegendsten Fall zu remoten Codeausführung missbrauchen. Auch hier gilt: Patches für Solaris 10 und 11.1 sind bereits verfügbar, der für Solaris 9 ist angekündigt [2]. 3. Die Bibliothek libxml2 weist eine DoS-Schwachstelle auf [3]. Weiterhin existiert eine Sicherheitslücke beim Dekodieren von XML-Entities, die einen Pufferüberlauf zur Folge haben kann, der sich unter anderem zur missbräuchlichen Codeausführung ausnutzen lässt [4]. Patches für Solaris 10 und 11.1 sind verfügbar, für Solaris 9 ist ein Patch angekündigt. 4. In den Apache-Modulen mod_imagemap, mod_info, mod_status, mod_proxy_balancer, mod_proxy_ftp und mod_ldap wurden Cross-Site-Scripting-Schwachstellen dokumentiert [5]. Security Newsletter 13/13 Seite 3 5. sudo weist zwei Schwachstellen auf, die es Angreifern unter anderem erlauben, unbefugt Befehle mit erweiterten Rechten auszuführen [6]. Empfehlung Über die jeweiligen Einträge im Third Party Vulnerability Resolution Blog sind die Links zu den bereitgestellten Updates verfügbar. Information [1] https://blogs.oracle.com/sunsecurity/entry/lucky_thirte en_vulnerability_in_solaris [2] https://blogs.oracle.com/sunsecurity/entry/cve_2012_5667_heap_buffer [3] https://blogs.oracle.com/sunsecurity/entry/cve_2013_0338_denial_of [4] https://blogs.oracle.com/sunsecurity/entry/cve_2012_5 134_buffer_overflow [5] https://blogs.oracle.com/sunsecurity/entry/multiple_cr oss_site_scripting_vulnerabilities [6] https://blogs.oracle.com/sunsecurity/entry/multiple_pe rmissions_privileges_and_access Cisco ■ Neue Security-Notizen von Cisco Betriebssystem Cisco Software Cisco Video Surveillance Operations Manager Software, Cisco Secure Access Control System (ACS), Cisco Hosted Collaboration Solution, Cisco WebEx Meetings Server (Event Center) Angriffe Denial of Service, Spoofing, Zugriff auf sensible Informationen, Umgehen von Sicherheitsfunktionen Schutz Software-Update Cisco hat eine Reihe von Meldungen zu Sicherheitslücken veröffentlicht, die laut Hersteller nur eine niedrige bis mittlere Gefährdung darstellen. (fgo) Problem 1. Die Software Cisco Video Surveillance Operations Manager weist einen Fehler bei der Validierung von Inhalten auf, die von Anwendern übermittelt werden. Dies lässt sich von nicht authentifizierten Angreifern remote ausnutzen, um Webseiten in den Browser eines Benutzers zu laden [1]. 2. Die administrative Weboberfläche des Cisco Secure Access Control System (ACS) erlaubt es einem authentifizierten remoten Angreifer, unbefugt auf sensible Informationen des Portals zuzugreifen [2]. 3. Die Cisco Hosted Collaboration Solution weist eine ohne Authentifizierung ausnutzbare DoS-Schwachstelle auf, die über manipulierte UDP-Pakete ausgelöst wird, die an ein betroffenes System gesendet werden [3]. 4. Das Modul Cisco WebEx Event Center von Cisco WebEx Meetings Server reagiert auf Nutzeranfragen nicht einwandfrei, sodass nicht authentifizierte remote Angreifer auf sicherheitsrelevante Informationen zugreifen können [4]. Empfehlung Cisco stellt laut eigenen Aussagen korrigierende Updates bzw. Upgrades über seinen Support.-Channel zur Verfügung. Seite 4 Information [1] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2013-3376 [2] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2013-3380 [3] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2013-3381 [4] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2013-1205 Mac OS ■ Apple veröffentlicht sicherheitsrelevantes Update für Mountain Lion Betriebssystem Mac OS X Software Mac OS X vor 10.8.4 Angriffe remotes Ausführen von Code, Denial of Service, Umgehen von Sicherheitsfunktionen, Zugriff auf sensible Informationen Schutz Software-Update Apple hat ein Update für Mountain Lion auf Version OS X 10.8.4 veröffentlicht [1]. (fgo) Problem Zu den laut Herstellermeldung [2] in der neuen Version korrigierten Komponenten zählen CFNetwork, CoreAnimation, CoreMedia Playback, CUPS, die Directory Services, das Disk Management, OpenSSL, der QuickDraw Manager, QuickTime, Ruby und SMB. Zudem ist das Update auf Safari 6.0.5 enthalten (siehe unten). Empfehlung Die Aktualisierung lässt sich über den Menüpunkt „Software Update“ einspielen oder manuell laden [3] und installieren. Information [1] http://support.apple.com/kb/HT5730 [2] http://support.apple.com/kb/HT5784 [3] http://support.apple.com/kb/DL1659 ■ Neue Safari-Version für Mac OS X Betriebssystem Mac OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3 Software Safari vor 6.0.5 Angriffe remotes Ausführen von Code, Denial of Service, Cross-Site Scripting Schutz Software-Update Apple hat seinen Browser Safari in der Version 6.0.5 für Mac OS veröffentlicht. (fgo) Problem Die Meldung [1] führt insgesamt 30 Schwachstellen in WebKit auf, die durch das Update geschlossen werden. Als mögliche Folgen erfolgreicher Angriffe, die aufgrund von provozierten Speicherbeschädigungen erfolgen können, sind unter anderem die unbefugte remote Codeausführung und DoS-Attacken genannt. Empfehlung Safari 6.0.5 lässt sich automatisch über den Menüpunkt „Software Update“ installieren. Security Newsletter 13/13 Information [1] http://support.apple.com/kb/HT5785 Kurzmeldungen Alle Betriebssysteme VMware aktualisiert Sicherheitsmeldungen VMware hat zwei seiner Security-Bulletins aktualisiert, da neue Patches verfügbar sind. VMSA-2013-0001 [1], das Sicherheitslücken dokumentiert, die die VMware vSphereAuthentifizierung, die Implementierung von XSL, die Bibliotheken Libxslt und Chromium (Libxml2) sowie die Komponente ISC BIND 9 betreffen, wurde um Angaben zum jetzt verfügbaren Patch für ESX 4.0 erweitert. Das Security-Advisory VMSA-2013-0004 [2] wurde ergänzt um die Links zu den Korrekturen für ESX und ESXi 4.0. Es thematisiert eine Schwachstelle in libxml2, die sich zur remoten Codeausführung missbrauchen lässt. (fgo) [1] http://www.vmware.com/security/advisories/VMSA-2013-0001.html [2] http://www.vmware.com/security/advisories/VMSA-2013-0004.html Schwachstelle im VMware vCenter Chargeback Manager Der VMware vCenter Chargeback Manager vor Version 2.5.1 weist eine nicht näher definierte Sicherheitslücke bei der Verarbeitung von Uploads auf. Diese lässt sich von remoten Angreifern auch ohne Authentifizierung missbrauchen, um eigene Befehle auf einem Zielsystem auszuführen [1]. Ein korrigierender Patch steht zum Download [2] bereit. (fgo) [1] http://www.vmware.com/security/advisories/VMSA-2013-0008.html [2] https://downloads.vmware.com/d/info/it_business_man agement/vmware_vcenter_chargeback/2_5 IBM Notes erlaubt Zugriff auf Passwörter In IBM Notes 8.5.x und 9.0 für die Betriebssysteme Windows, Linux und Mac OS X liegt eine Schwachstelle vor, die es Angreifern mit Zugriff auf den Hauptspeicher von lokalen Workstations unter bestimmten Rahmenbedingungen erlaubt, Passwörter im Klartext einzusehen [1]. IBM hat korrigierende Fixes veröffentlicht. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21636154 HP Service Manager und HP ServiceCenter mit Sicherheitslücken HP Service Manager 9.31, 9.30, 9.21 und 7.11 sowie HP ServiceCenter 6.2.8 für AIX, HP-UX, intelLinux, sparcSOL und Windows Server weisen zwei nicht näher definierte Schwachstellen auf, die Angreifern remote CrossSite-Scripting-Attacken sowie den unbefugten Zugriff auf sensible Informationen ermöglichen [1]. HP stellt korrigierende Updates für die betroffenen Software-Versionen zum Download zur Verfügung. (fgo) [1] http://h20564.www2.hp.com/portal/site/hpsc/public/kb/ docDisplay/?docId=emr_na-c03784101 Bugfixes für Novell ZENworks Configuration Management Im Novell ZENworks Configuration Management wurden verschiedene Sicherheitslücken dokumentiert. Sie können Angreifern Cross-Site-Scripting- und Cross-Site-RequestForgery-Angriffe ermöglichen. Fixes stehen jetzt zur Verfügung. (fgo) Security Newsletter 13/13 [1] http://www.novell.com/support/kb/doc.php?id=7012499 [2] http://www.novell.com/support/kb/doc.php?id=7012500 [3] http://www.novell.com/support/kb/doc.php?id=7012501 [4] http://www.novell.com/support/kb/doc.php?id=7012502 Windows IBM Notes Multi User Profile Cleanup Service von IBM Notes erlaubt Angriffe Laut IBM-Meldung kann ein Anwender innerhalb des IBM Notes Multi User Profile Cleanup Service andere Anwender derart angreifen, dass bei ihrem nächsten Logon unbefugt Code ausgeführt wird [1]. Betroffen sind die Versionen 8.0 bis 9.0 von IBM Notes. Es liegen korrigierende Fixpacks vor. (fgo) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21633827 Update: Schwachstellen im Novell Client für Windows Um Schwachstellen im Novell Client für Windows zu schließen, für die Zero-Day-Exploits kursieren [1], [2], hat Novell jetzt Updates veröffentlicht [3]. Die Gefährdung durch diese Sicherheitslücken lässt sich durch das Einspielen neuer Versionen der Kernel-Treiber NWFS.SYS (für Windows XP/2003) [4] bzw. NCPL.SYS für Windows 7, 8, Server 2008 R2 und Server 2012) [5] sowie für Vista und Windows 2008 [6] beseitigen. (fgo) [1] http://www.eeye.com/resources/security-center/research/zero-daytracker/2013/20130510 [2] http://www.eeye.com/resources/security-center/research/zero-daytracker/2013/20130522 [3] http://www.novell.com/support/kb/doc.php?id=7012497 [4] http://download.novell.com/protected/Summary.jsp?bu ildid=jHDTLHptZVY%7E [5] http://download.novell.com/Download?buildid=ck8iQRr2ooc%7E [6] http://download.novell.com/Download?buildid=4LymmsBuXy0%7E Unix Schwachstelle in OpenBSD erlaubt DoS-Attacken Die Versionen 5.2 [1] und 5.3 [2] von OpenBSD weisen in der Funktion in6_control() der Datei „sys/netinet6/in6.c“ eine Denial-of-Service-Schwachstelle auf. Sie lässt sich von lokalen, nicht privilegierten Angreifern durch das Ausführen des SIOCSIFADDR-IOCTL mit einem präparierten Parameter auf einen AF_INET6-Socket missbrauchen. Korrigierende Quellcode-Patches für OpenBSD 5.2 [3] und 5.3 [4] stehen zum Download zur Verfügung. (fgo) [1] http://www.openbsd.org/errata52.html [2] http://www.openbsd.org/errata53.html [3] http://ftp.openbsd.org/pub/OpenBSD/patches/5.2/common/005_in6.patch [4] http://ftp.openbsd.org/pub/OpenBSD/patches/5.3/common/005_in6.patch PHP-CGI von Parallels Plesk Panel erlaubt remote Codeausführung Die älteren Versionen 9.0 bis 9.2.3 von Parallels Plesk Panel für Linux und Unix weisen eine Sicherheitslücke in PHP-CGI auf, die es Angreifern erlaubt, remote Code auszuführen [1]. PHP-FastCGI ist nicht betroffen. Wer die alten Versionen beibehalten will, sollte den angegebenen Workaround durchführen, da zur Ausnutzung der Schwachstelle ein Exploit veröffentlicht wurde [2]. Allerdings empfiehlt der Hersteller den Umstieg auf die aktuelle Version 11.0 [3], die diesen Fehler nicht aufweist. (fgo) Seite 5 [1] http://kb.parallels.com/en/113818 [2] http://www.exploit-db.com/exploits/25986/ [3] http://www.parallels.com/de/download/plesk/ Diverse sicherheitsrelevante Bugs in XEN In der Virtualisierungslösung XEN wurden verschiedene Sicherheitslücken gefunden [1]. Sie können von lokalen Benutzern ausgenutzt werden, um Zugriff auf privilegierte Daten zu erhalten oder einen Denial of Service (DoS) durchzuführen. Updates stehen zur Verfügung. (fgo) [1] http://www.auscert.org.au/render.html?it=17659 Cisco Cisco Prime Infrastructure mit Cross-Site-Scripting-Schwachstelle In der Cisco Prime Infrastructure liegt laut CVE-20131247 [1] eine Schwachstelle vor, die auf der unzureichenden Überprüfung der Service Set Identifiers (SSID) vor der Übernahme in eine Aufstellung der fehlerhaften AccessPoints beruht. Angreifer, die diesen Fehler ausnutzen, können Cross-Site-Scripting-Attacken durchführen und Scripts im Browser der Anwender ausführen, die sich diese SSID anzeigen lassen. Ein korrigierendes Update ist über die Support-Kanäle von Cisco verfügbar. (fgo) [1] http://tools.cisco.com/security/center/content/CiscoSec urityNotice/CVE-2013-1247 Mac OS Microsoft Office for Mac 2011 erlaubt remote Codeausführung Im Rahmen des offiziellen Patchday von Microsoft wurde auch eine Schwachstelle in der Mac-Version 2011 von Office vermeldet: Wenn ein Benutzer ein manipuliertes Office-Dokument mit einer betroffenen Version der Software öffnet oder anzeigt, kann ein Angreifer einen Fehler ausnutzen, um eigenen Code mit den Rechten des angemeldeten Benutzers auszuführen [1]. Das korrigierende Microsoft Office for Mac 2011 14.3.5 Update steht zum Download [2] bereit. (fgo) [1] http://technet.microsoft.com/en-us/security/bulletin/ms13-051 [2] http://www.microsoft.com/downloads/details.aspx?fam ilyid=8bb70e5c-a3b1-4618-8295-2721b78f1d5f Impressum Verlag: WEKA MEDIA GmbH & Co. KG Römerstraße 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 http://www.weka.de Herausgeber: WEKA MEDIA GmbH & Co. KG Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin: WEKA Business Information GmbH & Co. KG und als Komplementär: WEKA MEDIA Beteiligungs-GmbH Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland Redaktion: Chefredakteur: Frank Gotta (fgo) Redakteure: Dr. Matthias Leu (ml), Frank Zinkand (fzi) [email protected] Erscheinungsweise: Der Security Newsletter erscheint 14-tägig. Abonnentenhotline: [email protected] Tel.: 0 82 33.23-73 23 Fax: 0 82 33.23-72 36 Abonnentenverwaltung: Kundenservice Römerstr. 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 ISBN: 3-8245-0410-3 Preis und Laufzeit des Abonnements: Der Abonnementpreis für ein halbes Jahr (mind. 12 Ausgaben) beträgt 148,00 € (inkl. Versand, zzgl. MWST). Das Abonnement gilt für ein halbes Jahr (mind. 12 Ausgaben) und verlängert sich automatisch um ein weiteres halbes Jahr, wenn nicht 4 Wochen vor Ablauf der Bezugszeit schriftlich gekündigt wird. Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Titel und alle in ihm enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar. Unter http://www.weka.de/it-security/10317556-%7Eitsecuritynewsletter%7Efsc_formular.html haben Sie mit dem aktuellen Freischaltcode bopiarop Zugriff aufs Archiv. Seite 6 Security Newsletter 13/13