security newsletter
Transcrição
security newsletter
03.08.15, 45990/Best.-Nr. 410452 SECURITY NEWSLETTER 16 15 Analysen und Lösungen zu aktuellen Gefahren für die Daten- und Netzwerksicherheit Inhalt Alle Betriebssysteme Adobe: Updates für Reader, Acrobat, Flash Player und Shockwave Player ...................................................... 1 Patchday von Oracle......................................................... 1 Novell eDirectory mit DoS-Bugs ..................................... 1 Korrekturen für BlackBerry Link .................................... 1 IBM aktualisiert DB2 ....................................................... 1 Patchday von Oracle Am offiziellen Patchday hat Oracle Updates für zahlreiche seiner Produkte publiziert, die insgesamt 193 Sicherheitslücken beseitigen sollen. Teilweise werden diese bereits aktiv ausgenutzt. Eine Aufstellung der betroffenen Software liefert das Oracle Critical Patch Update Advisory [1]. (fzi) [1] http://www.oracle.com/technetwork/topics/security/cpu jul2015-2367936.html Windows Novell eDirectory mit DoS-Bugs 14 neue Updates von Microsoft........................................ 2 Windows Adobe Type Manager: Patch außer der Reihe.. 2 Schwachstellen in Novell eDirectory 8.8 erlauben Denialof-Service-Attacken. Der Hersteller hat über den eDirectory 8.8 SP8 Patch 5 HotFix 1 korrigierende Updates publiziert [1]. (fgo) Unix/Linux Solaris: Third Party Vulnerability Resolution Blog von Oracle ........................................................................ 2 [1] https://download.novell.com/Download?buildid=xAAP9aYg1to Cisco Korrekturen für BlackBerry Link Neue Security Alerts von Cisco ....................................... 2 Impressum ........................................................................ 3 Alle Betriebssysteme In BlackBerry Link vor Version 1.2.3.53 liegt eine Sicherheitslücke vor, die es remoten, nicht authentifizierten Angreifern erlaubt, beliebigen Programmcode zur Ausführung zu bringen [1]. BlackBerry stellt eine aktualisierte Programmversion sowie Angaben zu einem Workaround zur Verfügung. (fgo) [1] http://www.blackberry.com/btsc/KB37207 IBM aktualisiert DB2 Adobe: Updates für Reader, Acrobat, Flash Player und Shockwave Player Adobe hat für folgende seiner Programme sicherheitsrelevante Updates zur Behebung von Schwachstellen veröffentlicht: 1. Acrobat und Reader wurden auf folgender Versionen aktualisiert: Adobe Reader XI 11.0.12, Adobe Reader X 10.1.15, Adobe Acrobat XI 11.0.12, Adobe Acrobat X 10.1.15 [1] 2. Flash Player Desktop Runtime 18.0.0.209, Flash Player ESR 13.0.0.309, Flash Player Linux 11.2.202.491 IBM hat mehrere neue Advisories [1–5] zu Schwachstellen in IBM DB2 9.7, DB2 9.8, DB2 10.1 und DB2 10.5 veröffentlicht. Werden die Sicherheitslücken erfolgreich ausgenutzt, können die unbefugte Codeausführung, DoS-Zustände, der unbefugte Zugriff auf Informationen oder das Umgehen von Sicherheitsfunktionen die Folge sein. (fzi) [1] http://www-01.ibm.com/support/docview.wss?uid=swg21697988 [2] http://www-01.ibm.com/support/docview.wss?uid=swg21698308 [3] http://www-01.ibm.com/support/docview.wss?uid=swg21959650 [4] http://www-01.ibm.com/support/docview.wss?uid=swg21697987 [5] http://www-01.ibm.com/support/docview.wss?uid=swg21902661 3. Adobe Shockwave Player 12.1.9.159 [3] [1] https://helpx.adobe.com/security/products/acrobat/apsb15-15.html [2] https://helpx.adobe.com/security/products/flash-player/apsb15-18.html [3] https://helpx.adobe.com/security/products/shockwave/apsb15-17.html Security Newsletter 16/15 Seite 1 Windows Unix 14 neue Updates von Microsoft Solaris: Third Party Vulnerability Resolution Blog von Oracle Am regulären Patchday hat Microsoft insgesamt 14 neue Security Bulletins veröffentlicht, die Schwachstellen dokumentieren und korrigierende Patches anbieten: 1. SQL Server: Ausführen von Code (MS15-058) [1] 2. Internet Explorer: remotes Ausführen von Code (MS15-65) [2] 3. VBScript: remotes Ausführen von Code (MS15-66) [3] 4. Remote Desktop Protocol (RDP): remotes Ausführen von Code (MS15-67) [4] 5. Windows Hyper-V: remotes Ausführen von Code (MS15-68) [5] 6. Windows: remotes Ausführen von Code (MS15-69) [6] 7. Microsoft Office: remotes Ausführen von Code (MS15-70) [7] 8. Netlogon: Erhöhen von Rechten (MS15-071) [8] 9. Windows-Grafikkomponente: Erhöhen von Rechten (MS15-072) [9] 10. Windows Kernel Mode Driver: Erhöhen von Rechten (MS15-073) [10] 11. Windows-Installationsdienst: Erhöhen von Rechten (MS15-074) [11] 12. OLE: Erhöhen von Rechten (MS15-075) [12] 13. Windows Remote Procedure Call: Erhöhen von Rechten (MS15-076) [13] 14. ATM Font Driver: Erhöhen von Rechten (MS15-077) [14] [1] https://technet.microsoft.com/library/security/MS15-058 [2] https://technet.microsoft.com/library/security/MS15-065 [3] https://technet.microsoft.com/library/security/MS15-066 [4] https://technet.microsoft.com/library/security/MS15-067 [5] https://technet.microsoft.com/library/security/MS15-068 [6] https://technet.microsoft.com/library/security/MS15-069 [7] https://technet.microsoft.com/library/security/MS15-070 [8] https://technet.microsoft.com/library/security/MS15-071 [9] https://technet.microsoft.com/library/security/MS15-072 [10] https://technet.microsoft.com/library/security/MS15-073 [11] https://technet.microsoft.com/library/security/MS15-074 [12] https://technet.microsoft.com/library/security/MS15-075 [13] https://technet.microsoft.com/library/security/MS15-076 [14] https://technet.microsoft.com/library/security/MS15-077 Windows Adobe Type Manager: Patch außer der Reihe Microsoft hat mit dem Security Bulletin MS15-078 [1] eine Sicherheitslücke in der Bibliothek des Windows Adobe Type Manager (ATMFD.DLL) aufgegriffen, die eine remote Codeausführung mit den Rechten des angemeldeten Nutzers erlaubt. Da entsprechende Exploits kursieren, sollte dieser Patch zeitnah installiert werden. (fgo) [1] https://technet.microsoft.com/library/security/ms15-078.aspx Im wieder aufgelebten Third Party Vulnerability Resolution Blog [1] finden sich folgende Meldungen über Schwachstellen in Software von Drittherstellern, die standardmäßig unter Solaris 10 und 11.1 zum Einsatz kommt: 1. X.Org: Erhöhen von Rechten [2]; Ausführen von Code [3], [4] 2. Apache Tomcat: Denial of Service [5], [8], [11]; Frame Injection [6]; Umgehen von Sicherheitsfunktionen [7], [9], [10], [12], [13], http Request Smuggling [14] [1] https://blogs.oracle.com/sunsecurity/ [2] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0209 [3] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0210 [4] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0211 [5] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3544 [6] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-1571 [7] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4286 [8] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4322 [9] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4590 [10] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0033 [11] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0075 [12] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0096 [13] http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0119 [14] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0099 Cisco Neue Security Alerts von Cisco Zu folgenden Produkten sind aktuell Sicherheitsmeldungen von Cisco erschienen: 1. Identity Services Engine: Cross-Site Scripting [1], Cross-Frame Scripting [5], Cross-Site Request Forgery [7] 2. Unified Communications Manager: Cross-Site Scripting [2], Denial of Service [3] 3. TelePresence Integrator C Series: Umgehen von Sicherheitsfunktionen [4] 4. Packet Data Network Gateway: Denial of Service [6] 5. Packet Data Network Gateway: Denial of Service [8] 6. Adaptive Security Appliance: Umgehen von Sicherheitsfunktionen [9] 7. Email Security Appliance: Denial of Service [10] 8. Unified Intelligence Center: Cross-Site Request Forgery [11] 9. WebEx Meetings: Ausführen von Code [12], CrossSite Scripting [17], Cross-Site Request Forgery [18] 10. Prime Collaboration Assurance: Denial of Service [13] 11. FireSIGHT Management Center: Cross-Site Scripting [14] 12. UCS Manager: Ausführen von Code [15] 13. Videoscape Policy Resource Manager: Denial of Service [16] Seite 2 Security Newsletter 16/15 14. IOS XR Software für Cisco ASR 9000 Series: Denial of Service [19] Impressum 15. IOS XR Software für Cisco ASR 9k Series: Denial of Service [20] Verlag: WEKA MEDIA GmbH & Co. KG Römerstraße 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 http://www.weka.de 16. Diverse Cisco-Produkte, LDAP-Server-SSL-Zertifikat: Man in the middle [21] [1] http://tools.cisco.com/security/center/viewAlert.x?alertId=39873 [2] http://tools.cisco.com/security/center/viewAlert.x?alertId=39905 [3] http://tools.cisco.com/security/center/viewAlert.x?alertId=39877 [4] http://tools.cisco.com/security/center/viewAlert.x?alertId=39880 [5] http://tools.cisco.com/security/center/viewAlert.x?alertId=39871 [6] http://tools.cisco.com/security/center/viewAlert.x?alertId=39907 [7] http://tools.cisco.com/security/center/viewAlert.x?alertId=39872 [8] http://tools.cisco.com/security/center/viewAlert.x?alertId=39934 [9] http://tools.cisco.com/security/center/viewAlert.x?alertId=39919 [10] http://tools.cisco.com/security/center/viewAlert.x?alertId=39940 [11] http://tools.cisco.com/security/center/viewAlert.x?alertId=39920 [12] http://tools.cisco.com/security/center/viewAlert.x?alertId=39938 [13] http://tools.cisco.com/security/center/viewAlert.x?alertId=40003 [14] http://tools.cisco.com/security/center/viewAlert.x?alertId=39879 [15] http://tools.cisco.com/security/center/viewAlert.x?alertId=39990 [16] http://tools.cisco.com/security/center/viewAlert.x?alertId=40050 [17] http://tools.cisco.com/security/center/viewAlert.x?alertId=39755 [18] http://tools.cisco.com/security/center/viewAlert.x?alertId=40021 [19] http://tools.cisco.com/security/center/viewAlert.x?alertId=40067 [20] http://tools.cisco.com/security/center/viewAlert.x?alertId=40068 [21] http://tools.cisco.com/security/center/viewAlert.x?alertId=40137 Herausgeber: WEKA MEDIA GmbH & Co. KG Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin: WEKA Business Information GmbH & Co. KG und als Komplementär: WEKA MEDIA Beteiligungs-GmbH Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland Redaktion: Chefredakteur: Frank Gotta (fgo) Redakteure: Dr. Matthias Leu (ml), Frank Zinkand (fzi) [email protected] Erscheinungsweise: Der Security Newsletter erscheint 14-tägig. Abonnentenhotline: [email protected] Tel.: 0 82 33.23-73 23 Fax: 0 82 33.23-72 36 Abonnentenverwaltung: Kundenservice Römerstr. 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 ISBN: 3-8245-0410-3 Preis und Laufzeit des Abonnements: Der Abonnementpreis für ein halbes Jahr (mind. 12 Ausgaben) beträgt 148,00 € (inkl. Versand, zzgl. MWST). Das Abonnement gilt für ein halbes Jahr (mind. 12 Ausgaben) und verlängert sich automatisch um ein weiteres halbes Jahr, wenn nicht 4 Wochen vor Ablauf der Bezugszeit schriftlich gekündigt wird. Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Titel und alle in ihm enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar. Unter http://www.weka.de/it-security/10317556-%7Eitsecuritynewsletter%7Efsc_formular.html haben Sie mit dem aktuellen Freischaltcode carefjio Zugriff aufs Archiv. Security Newsletter 16/15 Seite 3