Hier nur eine kleine Auwahl von Meldungen über Sicherheitslücken unter Linux.Man beachte den Widerspruch der angeblichen Linux-Sicherheit im krassen Gegensatz zur Realität.
http://www.tecchannel.de/news/20020312/thema20020312-6952.html
12.03.2002 18:51:52
Eine Sicherheitslücke in der Linux-Library "Zlib" betrifft fast alle existierenden Linux-Installationen, meinen amerikanische Sicherheitsexperten. Zlib ist für das Entpacken von Dateien zuständig.
Wie die Computerwoche berichtet, greifen verschiedene Compiler und Entwicklungstools auf die Bibliotheksdatei zu, aber auch der Webbrowser von Mozilla oder "X11", das Basissystem zur Darstellung grafischer Benutzerführungen. Der Fehler verursacht einen Speicherüberlauf, den Angreifer dazu ausnutzen können, um unberechtigten Zugriff auf betroffene Rechner zu erlangen, erklärt Mark Cox, Leiter der Forschungsabteilung von Red Hat. Der Linux-Distributor hat bereits einen Patch bereitgestellt, ebenso wie Suse.
Bislang sei die Lücke noch nicht von Hackern entdeckt worden, so Dave Wreski, Chef der Opensource-Sicherheitsfirma Guardian Digital. Er empfiehlt Linux-Anwendern jedoch, verfügbare Patches möglichst schnell einzuspielen, da mit Angriffen auf die verwundbaren Systeme schon bald zu rechnen sei. (Computerwoche/ala)
Trojanische Pferde in Quelltexten von libcap und tcpdump
Die Houston Linux User Group (HLUG) hat in den Quellcodes von libcap und tcpdump auf www.tcpdump.org trojanische Pferde gefunden. In dem Hinweis der HLUG heißt es zudem, dass auch einige Mirrors der Site mit den trojanischen Pferden verseucht sind. libcap ist eine Library mit Funktionen für das Mitschneiden und Decodieren von Daten-Paketen in einem Netzwerk (packet sniffing), tcpdump ist ein Tool zum packet sniffing; beide Pakete sind in kommerziellen Unix-Derivaten, den freien BSD-Versionen und den Linux-Distributionen meist standardmäßig enthalten
Die in die Programme eingeschleusten trojanischen Pferde modifizieren das Configure-Skript (und bei libcap auch gencap.c). Die veränderten Dateien laden ein C-Skript von mars.raketti.net, das anschließend kompiliert und gestartet wird. Dieses Programm versucht dann, eine Verbindung auf Port 1963 zu mars.raketti.net herzustellen. Ein sauberes libcap-0.7.1 gibt es laut HLUG hier; für ein sauberes tcpdump empfiehlt die Gruppe entweder diese Version 3.6.2 oder Version 3.7.1. (pab/c't)
http://www.heise.de/newsticker/data/pab-13.11.02-002/
Sicherheitsprobleme bei KDE
c’t 26/2002 Seite 40
Die Entwickler des Unix-Desktops KDE haben die Freigabe der Version 3.1 auf Januar 2003 verschoben. Bei einer Sichtung des Codes fanden sie diverse Probleme, die vor der endgültigen Release gründlich beseitigt werden sollen. Auslöser der Review war unter anderem die Entdeckung eines kritischen Sicherheitslochs im KIO-Subsystem. Über dieses kann unter anderem der Browser Konqueror andere Komponenten nutzen. Spezielle telnet- oder rlogin-URLs konnten darüber beliebige Befehle mit den Rechten des Users ausführen. Das Problem tritt bei allen Versionen des KDE ab 2.1 (!) auf.
Eine Schwachstelle im Printing Spooler ermöglicht eine Denial-of-Service-Attacke. Betroffen sind Red Hat 7.3, 8.0 und 9.0. CUPS verwendet das Internet Printing Protocol (IPP), um Druckaufträge zu empfangen, hiervon aber jeweils nur einzigen: parallele Verarbeitung ist nicht möglich. Sendet ein Angreifer nun einen unvollständigen fehlerhaften Druckauftrag, so wird dies nicht erkannt. CUPS bleibt hängen und kann keine Aufträge mehr entgegennehmen.
Voraussetzung für diesen Angriff ist die Erreichbarkeit von Port 631, CUPS lauscht hier auf eingehende Verbindungen. Red Hat empfiehlt, unten stehende Patches zu installieren.
http://www.heise.de/newsticker/data/dab-27.05.03-001/
Erneut Sicherheitslücke in sendmail
Erneut ist eine kritische Sicherheitslücke in sendmail bekannt geworden. Alle Versionen der Open-Source-Variante des Message Transfer Agent (MTA) vor Version 8.12.9 sowie alle kommerziellen sendmail-Ausgaben für Unix und Windows weisen eine Schwachstelle auf, die von Michael Zalewski entdeckt wurde. Durch sie kann ein Angreifer über einen speziellen E-Mail-Header einen Buffer Overflow provozieren; dadurch lässt sich beliebiger Code mit den Rechten des sendmail-Daemons ausführen oder ein Denial-of-Service-Angriff auslösen. Die Ursache für das Leck liegt im Parser für die E-Mail-Adressen. Laut CERT wurde in Tests die Lücke bereits erfolgreich für Denial-of-Service-Angriffe ausgenutzt.
Als Gegenmaßnahme empfiehlt das CERT in einem Advisory ein Upgrade auf sendmail 8.12.9. Für ältere Versionen gibt es zudem Patches. Sendmail Inc. stellt für die kommerziellen Varianten Updates bereit. Außerdem arbeiten die Linux-Distributoren bereits an aktualisierten sendmail-Paketen für ihre Distributionen; dasselbe dürfte bei Apple für sendmail in Mac OS X gelten.
Das CERT betont ausdrücklich, es handele sich bei dem nun entdeckten Fehler -- auch wenn es ein ähnliches Problem ist -- nicht um den gleichen Bug wie bei dem Leck, das Anfang März bekannt wurde; es sind also auf jeden Fall neue Software-Updates oder das Einspielen von Patches bei den betroffenen Servern angesagt. Wie bei dem damaligen Fehler gilt aber, dass auch sendmail-Server innerhalb eines geschlossenen Netzwerks betroffen sein können, die über andere MTAs als sendmail den Kontakt zur Außenwelt herstellen: Denn präparierte Mails werden von nicht betroffenen MTAs unverändert weitergeleitet.
sendmail ist seit langem der meist verwendete MTA im Internet. Angeblich nutzen 50 bis 75 Prozent der Mail-Server im Internet das Programm, um Mails auszutauschen. MTAs dienen dazu, E-Mails zwischen den einzelnen Mail-Servern beziehungsweise von MTA zu MTA weiterzuleiten oder an lokale Adressen auszuliefern. (anw/c't)
http://www.heise.de/newsticker/data/anw-30.03.03-003/
Grossadministrator
Olaf19
