security newsletter
Transcription
security newsletter
06.02.12, 45990/Best.-Nr. 410364 SECURITY NEWSLETTER 03 12 Analysen und Lösungen zu aktuellen Gefahren für die Daten- und Netzwerksicherheit Editorial Inhalt Theoretisches Alle Betriebssysteme RSA hat die Empfehlung von 17 Sicherheitsexperten veröffentlicht, wie sich Unternehmen gegen hoch entwickelte Sicherheitsbedrohungen schützen können. Im Einzelnen wird beleuchtet, wie Unternehmen Informationen gewinnen, mit denen sie Cyber-Attacken besser erkennen, vorhersagen und abwenden können. Die Gruppe der Sicherheitsexperten plädiert für eine neue Verteidigungsdoktrin zur Bekämpfung von hoch entwickelten Sicherheitsbedrohungen, deren informationsgetriebener Ansatz unter anderem Folgendes umfasst: Oracle geht Schwachstellen in seinen Produkten an ............ 1 HP BAC und HP BSM erlauben Zugriff auf sensible Daten .................................................................... 2 Update von Apache Struts schließt kritische Lücke ........... 2 IBM-SPSS-Anwendungen haben Probleme mit ActiveX-Controls .............................................................. 2 Eingebettete Grafiken bringen Lotus Symphony in Schwierigkeiten.............................................................. 3 Schwachstellen in Oracle Outside In betreffen IBM DB2 Accessories Suite .............................................. 3 • konsistente Erfassung von Cyber-Risiko-Daten aus einer Reihe von Quellen, um ein besseres Verständnis der potenziellen Risiken zu erhalten Windows • Sammlung von Erkenntnissen über potenzielle CyberAngreifer, um ihre Motivation, ihre bevorzugten Angriffstechniken und ihre Aktivitäten zu verstehen • Ausbau der Fähigkeiten des eigenen Sicherheitsteams in Bezug auf die Auswertung und Sammlung von Informationen • Etablierung von Verfahren zur effizienten Analyse, Zusammenführung und Management von Cyber-RisikoDaten • Überwachung des Zustands der IT-Umgebungen, um normales und anormales System- und Nutzerverhalten unterscheiden zu können • bessere Kenntnis der Risikolage als Basis für Entscheidungen und Anwendung von Verteidigungsstrategien auf Basis von umfassenden Informationen über Gefahren und den Sicherheitsstatus der eigenen Organisation Die Studie „Getting Ahead of Advanced Threats: Achieving Intelligence-driven Information Security“ kann von der Website des Security for Business Innovation Council geladen werden unter: http://www.RSA.com/securityforinnovation Frank Gotta Chefredakteur Security Newsletter 03/12 Quellcode von Symantec pcAnywhere in fremden Händen ................................................................. 3 Zwei Schwachstellen in Symantec pcAnywhere................ 3 Unix/Linux Java-Update für HP-UX ..................................................... 4 Mehrere Schwachstellen in OpenSSL für HP-UX ............ 4 Cisco Cisco Digital Media Manager erlaubt unbefugte Rechteerhöhung ................................................................. 4 Unsicherer Root-Account für Cisco IP Video Phone E20 .......................................................................... 4 Cisco IronPort Appliances erlauben remote Codeausführung ................................................................. 5 Kurzmeldungen .................................................................. 5 Impressum .......................................................................... 6 Alle Betriebssysteme ■ Oracle geht Schwachstellen in seinen Produkten an Betriebssystem Software Angriffe Schutz alle Systeme Produkte von Oracle verschiedene Software-Update Seite 1 Oracle hat mit seinem vierteljährlichen Sammel-Advisory für den Januar 2012 insgesamt 78 Sicherheitslücken in diversen Produkten dokumentiert. (fgo) Problem Zu den betroffenen Produkten zählen Server- und Anwendungs-Software, Middleware und das Betriebssystem Solaris. Für folgende Software-Lösungen wurden Schwachstellen gemeldet: • Oracle Database 11g Release 2, 11.2.0.2, 11.2.0.3 • Oracle Database 11g Release 1, 11.1.0.7 • Oracle Database 10g Release 2, 10.2.0.3, 10.2.0.4, 10.2.0.5 • Oracle Database 10g Release 1, 10.1.0.5 • Oracle Fusion Middleware 11g Release 1, 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0 • Oracle Application Server 10g Release 3, 10.1.3.5.0 • Oracle Outside In Technology, 8.3.5, 8.3.7 • Oracle WebLogic Server, 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5) • Oracle E-Business Suite Release 12, 12.1.2, 12.1.3 • Oracle E-Business Suite Release 11i, 11.5.10.2 • Oracle Transportation Management, 5.5, 6.0, 6.1, 6.2 • Oracle PeopleSoft Enterprise CRM, 8.9 • Oracle PeopleSoft Enterprise HCM, 8.9, 9.0, 9.1 • Oracle PeopleSoft Enterprise PeopleTools, 8.52 • Oracle JDEdwards, 8.98, One World Tools SP 24 • Oracle Sun Product Suite • Oracle VM VirtualBox, 4.1 • Oracle Virtual Desktop Infrastructure, 3.2 • Oracle MySQL Server, 5.0, 5.1, 5.5 Empfehlung Links zu den korrigierenden Patches stehen über das Sammel-Advisory zur Verfügung. Das nächste reguläre Oracle Critical Patch Update soll am 17. April 2012 erscheinen. Information [1] http://www.oracle.com/technetwork/topics/security/cpu jan2012-366304.html ■ HP BAC und HP BSM erlauben Zugriff auf sensible Daten Betriebssystem Windows, Solaris Software Business Availability Center (BAC) 8.07 und früher, Business Service Management (BSM) für Windows 9.12 und früher Angriffe Zugriff auf sensible Informationen Schutz Workaround Mehrere Schwachstellen in der von HP Business Availability Center und Business Service Management genutzten JBoss-Implementierung ermöglichen laut Herstellermeldung c03127140 [1] remote Attacken. (fgo) Problem 1. In der JBoss Enterprise Application Platform bestehen zwei Schwachstellen, die entfernte Angreifer mittels einer präparierten Anfrage ausnutzen können [2], [3]. 2. Die Web-Console in JBossAs überprüft Zugriffsrechte nur unzureichend [4]. Seite 2 Empfehlung HP bietet über das Security-Bulletin zur Behebung dieser Schwachstellen Informationen zu einem Workaround an, mittels dessen die JBoss Web-Console sowie das Status Servlet deaktiviert werden. Information [1] http://h20000.www2.hp.com/bizsupport/TechSupport/ Document.jsp?objectID=c03127140 [2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1429 [3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3273 [4] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1428 ■ Update von Apache Struts schließt kritische Lücke Betriebssystem Software Angriffe Schutz alle Systeme Apache Struts 2.3.1.1 und früher remotes Ausführen von Code Software-Update Das Java-Framework Apache Struts weist eine kritische Schwachstelle auf, für die bereits ein Exploit existiert [1]. (fgo) Problem Struts kontrolliert URL-Parameter, die remote übermittelt werden, nur unzureichend, Dies führt dazu, dass unter spezifischen Rahmenbedingungen Teile des Parameterinhalts als Befehle ausgeführt werden [2] Empfehlung Es empfiehlt sich ein Update auf Struts Version 2.3.1.2 [3], um die Sicherheitslücke zu schließen. Information [1] https://cwiki.apache.org/confluence/display/WW/S2-009 [2] http://blog.o0o.nu/2012/01/cve-2011-3923-yet-another-struts2.html [3] http://struts.apache.org/download.cgi#struts2312 ■ IBM-SPSS-Anwendungen haben Probleme mit ActiveX-Controls Betriebssystem Windows Software IBM SPSS Data Collection 5.6, 6.0 und 6.0.1, IBM SPSS Dimensions 5.5, IBM SPSS SamplePower Version 3 Angriffe remotes Ausführen von Code Schutz Software-Update Diverse Sicherheitslücken in SPSS-Softwarelösungen von IBM beruhen auf Fehlern in genutzten ActiveX-Komponenten. (fgo) Problem In IBM SPSS Data Collection 5.6, 6.0 und 6.0.1 sowie in SPSS Dimensions 5.5 wurden mehrere Schwachstellen in den ActiveX-Controls mraboutb.dll und ExportHTML.dll festgestellt, die sich zur remoten Codeausführung missbrauchen lassen [1]. Auch in IBM SPSS SamplePower Version 3 ist ein ActiveX-Control Ursache für Sicherheitslücken. Hier ist VsVIEW6 betroffen, mögliche Folge einer erfolgreichen Ausnutzung der vorliegenden Schwachstellen kann ebenfalls die unbefugte Codeausführung sein [2]. Security Newsletter 03/12 Empfehlung Für IBM SPSS Data Collection 5.6, 6.0 und 6.0.1 sowie für SPSS Dimensions 5.5 stehen Fixpacks zur Beseitigung der Schwachstellen zum Download [3] zur Verfügung. Ein korrigierendes Update für IBM SPSS SamplePower Version 3 ist nicht verfügbar, IBM empfiehlt als Workaround, die Nutzung des ActiveX-Controls für den Internet Explorer zu unterbinden. Entsprechende Anweisungen liefert die Herstellermeldung. Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21577956 [2] http://www-01.ibm.com/support/docview.wss?uid=swg21577951 [3] http://www.ibm.com/support/docview.wss?uid=swg24031804 ■ Eingebettete Grafiken bringen Lotus Symphony in Schwierigkeiten Betriebssystem Linux, Mac OS X, Windows Software Lotus Symphony 1.3, 3.0 Angriffe remotes Ausführen von Code, Denial of Service Schutz Software-Update Beim Laden von Grafikobjekten treten in einer von Symphony genutzten Bibliothek sicherheitsrelevante Fehler auf [1]. (fgo) Problem Im Visual Class Library Module (vclmi.dll) kann es beim Öffnen von Lotus-Symphony-Dokumenten, in die manipulierte Grafiken eingebettet sind, zu einem Integer-Überlauf kommen. Dies lässt sich von Angreifern ausnutzen, um einen Denial of Service zu provozieren, wahrscheinlich aber auch zur unbefugten remoten Codeausführung. Empfehlung Die Fehler werden durch das Einspielen der aktuellen Version Lotus Symphony 3.0.1, die zum Download [2] bereitsteht, beseitigt. Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21578684 [2] http://www-03.ibm.com/software/lotus/symphony/home.nsf/home ■ Schwachstellen in Oracle Outside In betreffen IBM DB2 Accessories Suite Information [1] http://www-01.ibm.com/support/docview.wss?uid=swg21578978 [2] https://www.ibm.com/services/forms/preLogin.do?sour ce=swg-dm-db2accsuite Windows ■ Quellcode von Symantec pcAnywhere in fremden Händen Betriebssystem Software Angriffe Schutz Windows Symantec pcAnywhere diverse Workaround In einem White Paper [1] geht Symantec auf die Folgen eines Diebstahls von Source-Code im Jahr 2006 ein und empfiehlt Absicherungsmaßnahmen für PC Anywhere. (fgo) Problem Der Diebstahl des Quellcodes versetzt Angreifer laut Symantec in die Lage, eventuelle Schwachstellen des Programms aufzuspüren und auszunutzen. Empfehlung Symantec empfiehlt, den Einsatz von pcAnywhere durch zusätzliche Maßnahmen wie etwa eine Firewall abzusichern. Information [1] http://www.symantec.com/connect/sites/default/files/pc Anywhere%20Security%20Recommendations%20WP_01_ 23_Final.pdf ■ Zwei Schwachstellen in Symantec pcAnywhere Betriebssystem Windows Software Symantec pcAnywhere 12.5.x, IT Management Suite 7.1 pcAnywhere 12.x Angriffe remotes Ausführen von Code, Erhöhen von Berechtigungen Schutz Software-Update Betriebssystem AIX, HP-UX, Linux, Solaris, Windows Software IBM DB2 Accessories Suite 9.7 Angriffe remotes Ausführen von Code Schutz Software-Update Symantec hat in seinem Security-Advisory SYM12-002 [1] zwei sicherheitsrelevante Fehler in pcAnywhere dokumentiert. Diese Schwachstellen stehen nicht im Zusammenhang mit dem Bekanntwerden des Quellcode-Diebstahls von pcAnywhere. (fgo) Bestandteile von Oracle Outside In kommen in der IBM DB2 Accessories Suite 9.7 zum Einsatz. Entsprechend sind Sicherheitslücken in den Oracle-Produkten auch in der IBM-Lösung zu finden [1]. (fgo) Problem Benutzereingaben an TCP-Port 5631 werden nicht ausreichend überprüft, sodass es Angreifern möglich ist, darüber Code auf ein Zielsystem zu übertragen und ausführen zu lassen. Zudem besteht eine Sicherheitslücke beim Upload von Installationsdateien, die lokal ausgenutzt werden kann, um sich höhere Rechte zu verschaffen. Problem Die Schwachstellen liegen im Parser für CorelDRAW, im File ID SDK für Microsoft CAB sowie in den Dateifiltern für Lotus 123 vor. Werden sie durch manipulierte Dateien in den entsprechenden Formaten erfolgreich ausgenutzt, können remote, nicht authentifizierte Angreifer eigenen Code auf einem Zielsystem zur Ausführung bringen. Empfehlung Abhilfe schafft das Einspielen des DB2 Accessories Suite for DB2 9.7 Fix Pack 4 V2.0.0, das zum Download [2] bereitsteht. Security Newsletter 03/12 Empfehlung Die Programmkorrektur steht über Live-Update zur Verfügung, lässt sich aber auch manuell [2] laden. Information [1] http://www.symantec.com/security_response/securityu pdates/detail.jsp?fid=security_advisory&pvid=security_a dvisory&year=2012&suid=20120124_00 [2] http://www.symantec.com/docs/TECH179526 Seite 3 Unix Cisco ■ Java-Update für HP-UX ■ Cisco Digital Media Manager erlaubt unbefugte Rechteerhöhung Betriebssystem HP-UX B.11.11, B.11.23, B.11.31 Software Java Runtime Environment (JRE), Java Developer Kit (JDK) 6.0.12 und früher Angriffe remotes Ausführen von Befehlen, Zugriff auf sensible Informationen, Umgehen von Sicherheitsfunktionen, Denial of Service Schutz Software-Update Insgesamt 19 Sicherheitslücken in der Java-Implementierung für HP-UX machen ein Update sinnvoll. (fgo) Problem HP führt die einzelnen Schwachstellen der Java Runtime Environment bzw. des Java Developer Kit im SecurityBulletin c03122753 [1] auf, wobei in sechs Fällen der höchstmögliche Gefährdungsgrad erreicht wird, d.h., remote Angreifer können bei einer erfolgreichen Kompromittierung des Systems beliebige Befehle auf dem Server ausführen. Empfehlung HP stellt zur Fehlerkorrektur Java 6.0.13 zur Verfügung. Information [1] http://h20000.www2.hp.com/bizsupport/TechSupport/ Document.jsp?objectID=c03122753 ■ Mehrere Schwachstellen in OpenSSL für HP-UX Betriebssystem HP-UX B.11.11, B.11.23, B.11.31 Software OpenSSL vor vA.00.09.08s Angriffe Denial of Service, remotes Ausführen von Befehlen Schutz Software-Update Mehrere Schwachstellen in der OpenSSL-Implementierung von HP-UX lassen remote Angriffe zu. (fgo) Problem Insgesamt führt das Security-Bulletin c03141193 [1] sechs Sicherheitslücken auf. Werden diese von einem remoten Angreifer erfolgreich ausgenutzt, ist es ihm im schwerwiegendsten Fall möglich, eigene Befehle auf einem betroffenen Zielsystem auszuführen. Empfehlung HP stellt Updates zur Korrektur der Probleme zum Download [1] bereit. Information [1] http://h20000.www2.hp.com/bizsupport/TechSupport/ Document.jsp?objectID=c03141193 [2] ftp://ossl098s:[email protected]/ Betriebssystem Cisco Software Cisco Digital Media Manager 5.2.x und früher Angriffe Erhöhen von Rechten, Kompromittierung des Systems Schutz Software-Update Der Cisco Digital Media Manager weist eine Schwachstelle auf, die laut Advisory cisco-sa-20120118-dmm [1] remote Attacken durch authentifizierte Angreifer erlaubt. (fgo) Problem Die Sicherheitslücke öffnet sich, da nicht referenzierte URLs nur unzureichend überprüft werden. Dies erlaubt einem Angreifer, über TCP-Port 8443 auf administrative Ressourcen zuzugreifen und sich höhere Rechte an einem betroffenen System zu verschaffen. Empfehlung Der Cisco Digital Media Manager in den Versionen vor 5.2 wird vom Hersteller nicht mehr unterstützt, hier empfiehlt sich ein Upgrade. Die fehlerbereinigte Version 5.2.2.1 steht zum Download zur Verfügung, ebenso ein Patch für die Version 5.2.3. Information [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20120118-dmm ■ Unsicherer Root-Account für Cisco IP Video Phone E20 Betriebssystem Cisco Software Cisco TelePresence TE Software 4.1.0 für Cisco IP Video Phone E20 Angriffe Kompromittierung des Systems Schutz Software-Update, Workaround Cisco weist im Security-Advisory cisco-sa-20120118-te [1] auf eine Schachstelle in der Software TelePresence TE 4.1.0 hin, die vom Cisco IP Video Phone E20 genutzt wird. (fgo) Problem In Cisco TelePresence Software Version TE 4.1.0 ist standardmäßig ein aktivierter Root-Account implementiert, der nicht authentifizierten remoten Angreifern Zugriffe mit administrativen Rechten erlaubt und ihnen damit die volle Kontrolle eines betroffenen Geräts ermöglicht. Empfehlung Zu Behebung der Schwachstelle steht die neue Version TelePresence TE 4.1.1 zum Download bereit. Als Workaround können die Passwörter für Root User und Admin User neu gesetzt werden. Information [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20120118-te Seite 4 Security Newsletter 03/12 ■ Cisco IronPort Appliances erlauben remote Codeausführung Betriebssystem Cisco Software Cisco IronPort Email Security Appliance (C- und X-Series) 7.6.0 und früher, Cisco IronPort Security Management Appliance (M-Series) 7.8.0 und früher Angriffe remotes Ausführen von Code Schutz Workaround Die Cisco IronPort Email Security Appliances (ESA) und die Cisco IronPort Security Management Appliances (SMA) weisen laut Advisory cisco-sa-20120126-ironport [1] eine Schwachstelle auf, die es remoten nicht authentifizierten Angreifern erlaubt, Code mit erhöhten Rechten auszuführen. (fgo) Problem Werden Telnet-Übertragungen verschlüsselt, so wird der Schlüssel in einen Puffer mit fester Größe kopiert, ohne dass die Schlüssellänge ausreichend überprüft wird. So können Angreifer einen Pufferüberlauf provozieren. Zur Ausnutzung dieser Schwachstelle ist ein Exploit verfügbar. Empfehlung Ein korrigierendes Update liegt bislang noch nicht vor. Cisco empfiehlt als Workaround, den Telnet-Zugang zu deaktivieren. Angaben zur Vorgehensweise finden sich im Advisory. Information [1] http://tools.cisco.com/security/center/content/CiscoSec urityAdvisory/cisco-sa-20120126-ironport [1] http://dsecrg.com/pages/vul/show.php?id=408 [2] http://dsecrg.com/pages/vul/show.php?id=409 [3] http://dsecrg.com/pages/vul/show.php?id=410 [4] http://dsecrg.com/pages/vul/show.php?id=411 [5] https://service.sap.com/sap/support/notes/1567389 [6] https://service.sap.com/sap/support/notes/1591146 [7] https://service.sap.com/sap/support/notes/1591749 [8] https://service.sap.com/sap/support/notes/1585652 Fehler im Bugfix für OpenSSL wurde beseitigt Ein Fehler im Bugfix CVE-2011-4108 für OpenSSL kann für eine Denial-of-Service-Attacke ausgenutzt werden [1]. Betroffen sind ausschließlich DTLS-Applikationen, die OpenSSL 1.0.0f und 0.9.8s nutzen [2]. Behoben werden kann diese Sicherheitslücken durch eine Aktualisierung auf OpenSSL 1.0.0g bzw. 0.9.8t [3]. (fgo) [1] http://www.openssl.org/news/secadv_20120104.txt [2] http://www.openssl.org/news/secadv_20120118.txt [3] http://www.openssl.org/source/ FirePass-Appliances von F5 mit fehlerhafter PHP-Version Die Appliances FirePass 6.0.0 bis 6.1.0 sowie 7.0.0 von F5 nutzen eine PHP-Version, die Angriffe erlaubt [1]. Da die Zahl der temporären Dateien in PHP vor 5.2.12 bzw. 5.3.1 nicht beschränkt wird, kann ein Angreifer einen Denial of Service provozieren [2]. Ein Patch ist bislang noch nicht verfügbar, daher empfiehlt es sich, den Zugriff auf die Appliance zu reglementieren. (fgo) [1] http://support.f5.com/kb/en-us/solutions/public/13000/200/sol13279.html [2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE2009-4017 Windows Kurzmeldungen Alle Betriebssysteme Neue Version macht Chrome sicherer Mit Chrome 16.0.912.77 für Windows, Mac, Linux und Chrome Frame schließt Google insgesamt vier Sicherheitslücken in seinem Browser [1]. Eine fünfte aufgeführte Schwachstelle wurde bereits mit dem vorherigen Update geschlossen, aber nicht in den Release-Notes angegeben. (fgo) [1] http://googlechromereleases.blogspot.com/2012/01/sta ble-channel-update_23.html Opera 11.61 verfügbar Mit der neuen Version Opera 11.61 für Windows, Mac OS und Linux beseitigt der Hersteller laut Changelogs [1] unter anderem drei Schwachstellen, die Denial-of-ServiceAttacken erlauben. Des Weiteren wurde eine Cross-SiteScripting-Sicherheitslücke geschlossen. Die neue OperaVersion steht zum Download [2] bereit. (fgo) [1]http://www.opera.com/docs/changelogs/ [2] http://www.opera.com/download/ Diverse Sicherheitslücken in SAP NetWeaver Die Digital Security Research Group (DSecRG) hat mehrere Schwachstellen in SAP NetWeaver 7.x festgestellt, die es Angreifern unter anderem erlauben, Cross-SiteScripting-Attacken auszuführen oder Sicherheitsfunktionen zu umgehen [1–4]. Registrierte Anwender können auf den Support-Seiten von SAP entsprechende Hinweise zur Abhilfe abrufen [5–8]. (fzi) Security Newsletter 03/12 Update: Microsoft hebt das Vertrauen für malaysische Zertifikate auf Microsoft hat die Sicherheitsempfehlung 2641690 [1], die das Vertrauen zu 22 malaysischen Zertifikaten mit schwachen 512-Bit-Schlüsseln widerruft, aktualisiert. Anlass: Nun stehen auch Updates für Windows Mobile 6.x, Windows Phone 7 und Windows Phone 7.5 zum Download bereit. (fgo) [1] http://technet.microsoft.com/en-us/security/advisory/2641690 Symantec Endpoint Protection Manager als Angriffsziel Eine Schwachstelle in der Webkonsole des Symantec Endpoint Protection Manager 12.1 kann zu Cross-SiteScripting- und Cross-Site-Request-Forgery-Attacken missbraucht werden [1]. Diese Schwachstelle ist mit der im August letzten Jahres gemeldeten Sicherheitslücke [2] identisch, bei der aber der Endpoint Protection Manager nicht in der Liste der betroffenen Software erschienen war. (fgo) [1] http://www.symantec.com/security_response/securityu pdates/detail.jsp?fid=security_advisory&pvid=security_a dvisory&year=2012&suid=20120116_00 [2] http://www.symantec.com/security_response/securityu pdates/detail.jsp?fid=security_advisory&pvid=security_a dvisory&year=2011&suid=20110810_00 Seite 5 DataArmor und DriveArmor von Trend Micro erlauben Rechteerhöhung Impressum DataArmor 3.0.10 und früher sowie DriveArmor 3.0.0 und früher von Trend Micro weisen eine Schwachstelle auf, die es lokalen Anwendern erlaubt, sich höhere Rechte am System zu verschaffen [1]. Ursache dieser Sicherheitslücke ist ein nicht näher definierter Fehler im Pre-BootBetriebssystem. Zur Abhilfe können entweder die neuen Installer für die beiden Programme genutzt oder die bereitgestellten Patches eingespielt werden. (fgo) [1] http://esupport.trendmicro.com/solution/en-us/1060043.aspx Verlag: WEKA MEDIA GmbH & Co. KG Römerstraße 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 http://www.weka.de Unix Update: IBM bessert OpenSSL für AIX nach IBM hat die Meldung vom November 2011 [1], die mehrere Schwachstellen in der OpenSSL-Implementierung von IBM AIX aufgreift, aktualisiert. Die Liste der betroffenen Plattformen und Versionen wurde in diesem Update erweitert und korrigiert. (fgo) [1] ftp://aix.software.ibm.com/aix/efixes/security/openssl_advisory2.asc Neuer Kernel für Linux schließt Sicherheitslücke Ein Kernel-Update für Linux [1] beseitigt unter anderem einen Fehler, der es lokalen Angreifern erlaubt, sich durch Manipulieren des virtuellen Arbeitsspeichers höhere Rechte am System zu verschaffen [2]. Dieser Fehler wird bereits aktiv ausgenutzt. Die ersten Linux-Distributoren haben bereits Pakete mit dem neuen Kernel veröffentlicht. (fgo) [1] http://git.kernel.org/?p=linux%2Fkernel%2Fgit%2Ftorvalds%2Flinux2.6.git&a=commitdiff&h=e268337dfe26dfc7efd422a804dbb27977a3cccc [2] http://blog.zx2c4.com/749 Asterisk mit Sicherheitslücke bei der Verarbeitung von Video-Streams Eine Schwachstelle in Asterisk in den Versionen vor 10.x und 1.8.x lässt sich ausnutzen um einen Denial of Service zu verursachen. Die Sicherheitslücke beruht auf einem Fehler bei der Verarbeitung verschlüsselter Videostreams. Ein erfolgreicher Angriff setzt voraus, dass die Video-Unterstützung nicht aktiviert wurde und das res_srtp-Modul geladen wird. Abhilfe bringt ein Update auf die AsteriskVersion 10.0.1 bzw. 1.8.8.2 [2]. (fgo) [1] http://downloads.asterisk.org/pub/security/AST-2012-001.html [2] http://downloads.asterisk.org/pub/telephony/ Herausgeber: WEKA MEDIA GmbH & Co. KG Gesellschafter der WEKA MEDIA GmbH & Co. KG sind als Kommanditistin: WEKA Business Information GmbH & Co. KG und als Komplementär: WEKA MEDIA Beteiligungs-GmbH Geschäftsführer: Stephan Behrens, Michael Bruns, Werner Pehland Redaktion: Chefredakteur: Frank Gotta (fgo) Redakteure: Dr. Matthias Leu (ml), Frank Zinkand (fzi) [email protected] Erscheinungsweise: Der Security Newsletter erscheint 14-tägig. Abonnentenhotline: [email protected] Tel.: 0 82 33.23-73 23 Fax: 0 82 33.23-72 36 Abonnentenverwaltung: Kundenservice Römerstr. 4, 86438 Kissing Tel.: 0 82 33.23-40 02 Fax: 0 82 33.23-74 00 ISBN: 3-8245-0410-3 Preis und Laufzeit des Abonnements: Der Abonnementpreis für ein halbes Jahr (mind. 12 Ausgaben) beträgt 148,00 € (inkl. Versand, zzgl. MWST). Das Abonnement gilt für ein halbes Jahr (mind. 12 Ausgaben) und verlängert sich automatisch um ein weiteres halbes Jahr, wenn nicht 4 Wochen vor Ablauf der Bezugszeit schriftlich gekündigt wird. Haftung: Die WEKA MEDIA GmbH & Co. KG ist bemüht, ihre Produkte jeweils nach neuesten Erkenntnissen zu erstellen. Die inhaltliche Richtigkeit und Fehlerfreiheit wird ausdrücklich nicht zugesichert. Bei Nichtlieferung durch höhere Gewalt, Streik oder Aussperrung besteht kein Anspruch auf Ersatz. Erfüllungsort und Gerichtsstand ist Kissing. Zum Abdruck angenommene Beiträge und Abbildungen gehen im Rahmen der gesetzlichen Bestimmungen in das Veröffentlichungs- und Verbreitungsrecht des Verlags über. Für unaufgefordert eingesandte Beiträge übernehmen Verlag und Redaktion keine Gewähr. Namentlich ausgewiesene Beiträge liegen in der Verantwortlichkeit des Autors. Titel und alle in ihm enthaltenen Beiträge und Abbildungen sind urheberrechtlich geschützt. Jeglicher Nachdruck, auch auszugsweise, ist nur mit ausdrücklicher Genehmigung des Verlags und mit Quellenangabe gestattet. Mit Ausnahme der gesetzlich zugelassenen Fälle ist eine Verwertung ohne Einwilligung des Verlags strafbar. Unter http://www.weka.de/it-security/10317556-%7Eitsecuritynewsletter%7Efsc_formular.html haben Sie mit dem aktuellen Freischaltcode inetjefa Zugriff aufs Archiv. Seite 6 Security Newsletter 03/12