Sicherheitslücken in Symantec pcAnywhere

Sicherheitslücken in Symantec pcAnywhere

26. Jänner 2011

Der Software-Hersteller Symantec warnt vor Sicherheitslücken in der Fernwartungssoftware pcAnywhere.

Da diese Software auch Teil der Client-Management-Lösungen der Altiris-Reihe ist, und diese in vielen Unternehmen eingesetzt wird, bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

pcAnywhere nimmt auf TCP-Port 5631 Anfragen zur Fernsteuerung des PCs entgegen. In der Authentisierung dieser Verbindungen wurde ein Fehler (mangelnde Eingabeprüfungen) gefunden, der es einem Angreifer erlaubt, Code einzuschleusen und auszuführen. (CVE-2011-3478, CVSS2: 8.3)

Es existiert auch eine Lücke in Bezug auf Local Access File Tampering, die sich jedoch deutlich schwieriger ausnützen lassen sollte. (CVE-2011-3479, CVSS2: 6.8)

Wie Symantec weiters berichtet, wurde vor einigen Jahren Quellcode für diverse Produkte gestohlen, darunter auch für pcAnywhere. Es ist daher anzunehmen, dass damit die in pcAnywhere verwendeten Verschlüsselungs- und Authentisierungsalgorithmen analysiert werden und deren Schwachstellen auch bald publik werden.

Symantec weist darauf hin, dass ein Angreifer mit Kenntnis der Algorithmen weitere Angriffsvektoren hat (Man-in-the-middle, Abhören, ...) und rät daher zu weiteren Vorsichtsmaßnahmen beim Einsatz von pcAnywhere.

Symantec hat sowohl eine Warnung zu den Problemen mit pcAnywhere als auch ein allgemeineres Whitepaper dazu herausgegeben.

Auswirkungen

Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Laut Symantec sind folgende Softwareprodukte/-suiten betroffen: pcAnywhere 12.5.x und älter IT Management Suite 7.0 pcAnywhere Solution 12.5.x und älteru IT Management Suite 7.1 pcAnywhere Solution 12.6.x und älter Weiters ist pcAnywhere auch in folgenden Produkten der Altiris-Reihe enthalten: Altiris Client Management Suite Altiris IT Management Suite ab Version 7.0 Altiris Deployment Solution with Remote 7.1

Abhilfe

Installation der bereitgestellten Updates, wo verfügbar, etwa per LiveUpdate. Weitere empfohlene Maßnahmen sind im Whitepaper angegeben.

Insbesondere weist Symantec darauf hin, dass in Firmennetzen die pcAnywhere-Installationen nicht von außen erreichbar sein sollen und der Dienst nur dann laufen soll, wenn er gerade gebraucht wird. Dazu enthält das Whitepaper entsprechende Skripte.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Security Advisory von Symantec zu pcAnywhere (englisch)
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00
Whitepaper von Symantec zu empfohlenen Massnahmen im Zusammenhang mit diesen Lücken (englisch, PDF)
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf
Erster Artikel bei Heise Security
http://www.heise.de/security/meldung/pcAnywhere-laesst-auch-Angreifer-ans-Steuer-1421170.html
Zweiter Artikel bei Heise Security
http://www.heise.de/security/meldung/Symantec-warnt-nach-Quelltext-Klau-vor-pcAnywhere-1422561.html Oracle Critical Patch Update für Jänner 2012

Oracle Critical Patch Update für Jänner 2012

18. Jänner 2011

Es wurden Updates für kritische Sicherheitslücken in diversen Produkten von Oracle, darunter unter anderen Oracle Database, Oracle MySQL Server, Solaris, Oracle Fusion Middleware und Oracle Application Server veröffentlicht.

Angesichts der hohen Verbreitung der Software von Oracle bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Im Rahmen eines "Critical Patch Update" warnt Oracle vor diversen, zum Teil schweren (CVSS Score bis zu 7.8) Sicherheitslücken in Software von Oracle.

Eine Sicherheitslücke im Produkt Oracle Database betrifft die Teilkomponente "listener program", welche remote Befehle akzeptiert. Das Ausnutzen der Sicherheitslücken kann im schlimmsten Fall dazu führen, dass ein Zugriff auf die Datenbank nicht mehr möglich ist.

Oracle stellt Patches für Solaris zur Verfügung, welche kritische Sicherheitslücken im Betriebssystem beseitigen. CVE-2012-0094 betrifft Solaris 9, 10, 11 Express und kann zu einem Absturz des Betriebssystems führen.

Andere Patches adressieren Sicherheitslücken in der MySQL Server Software, wobei das Ausnutzen zumindest einer Sicherheitslücke zu einer signifikanten Einschränkung der Verfügbarkeit führen bzw. die Vertraulichkeit der Daten in der Datenbank beeinträchtigen kann.

Weiters warnt Oracle vor diversen HTTP-basierten Sicherheitslücken in den Produkten Oracle Fusion Middleware, Oracle E-Business Suite, and Oracle Supply Chain Products Suite. Eine Sicherheitslücke in Oracle Fusion kann unter Umständen dazu führen, dass Daten vom System gelesen oder auf das System geschrieben werden können.

Eine Auflistung aller Sicherheitslücken und die dazugehörende detaillierte Beschreibung (inklusive CVE und Einstufungen nach CVSS) veröffentlichte Oracle als "Oracle Critical Patch Update Advisory - January 2012".

Auswirkungen

Unter Umständen kann das Ausnutzen der Sicherheitslücken zu einem Teil- bzw. Gesamtverlust der Vertraulichkeit, Integrität oder Verfügbarkeit der Softwareprodukte führen.

Betroffene Systeme

Laut Oracle sind folgende Versionen betroffen: Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3 Oracle Database 11g Release 1, version 11.1.0.7 Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5 Oracle Database 10g Release 1, version 10.1.0.5 Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0 Oracle Application Server 10g Release 3, version 10.1.3.5.0 Oracle Outside In Technology, versions 8.3.5, 8.3.7 Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5) Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3 Oracle E-Business Suite Release 11i, version 11.5.10.2 Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2 Oracle PeopleSoft Enterprise CRM, version 8.9 Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1 Oracle PeopleSoft Enterprise PeopleTools, version 8.52 Oracle JDEdwards, version 8.98 Oracle Sun Product Suite Oracle VM VirtualBox, version 4.1 Oracle Virtual Desktop Infrastructure, version 3.2 Oracle MySQL Server, versions 5.0, 5.1, 5.5

Abhilfe

Installation der bereitgestellten Updates. Siehe dazu die Links im Advisory von Oracle.

Hinweise

Oracle hat sich mit dem Critical Patch Updates Programm vorgenommen, jedes Quartal gebündelt Patches für (fast) alle Produkte herauszugeben. Wir empfehlen daher dringend jedem Kunden von Oracle, sich -- analog zum monatlichen Patch-Day von Microsoft -- auf diese Updates vorzubereiten und einen Prozess zur geordneten Behandlung zu implementieren.

Wir weisen weiters darauf hin, dass die Java Runtime für Clients unabhängig von diesen "CPUs" Updates von Oracle bekommt. Ein veraltetes Java-Plugin in Browsern ist aktuell ein häufiges Einfallstor für Schadsoftware. Ob ein Browser die aktuelle Version verwendet, lässt sich leicht über java.com überprüfen. Alte Versionen der JRE sollten deinstalliert werden.

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, und auch auf Servern sich automatisch die verfügbaren Updates anzeigen zu lassen.

Informationsquelle(n):

Oracle Critical Patch Update Advisory - January 2012 (Englisch)
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
Orcale Blog zum Patch Update (Englisch)
http://blogs.oracle.com/security/entry/january_2012_critical_patch_update
ars technica (Englisch)
Oracle drops a pile of critical patches in 78-update release "Out-of-band"-Patch für Microsoft ASP.NET Problem

"Out-of-band"-Patch für Microsoft ASP.NET Problem

29. Dezember 2011

Microsoft veröffentlicht einen "Out-of-band" Patch für mehrere Bugs in ASP.NET.

Hintergrund und Dimension

Microsoft veröffentlicht üblicherweise Patches nur gebündelt einmal pro Monat (sogenannter "Patch Tuesday", 2. Dienstag des Monats), und sieht davon nur in besonders wichtigen Ausnahmefällen ab - im konkreten Fall stuft Microsoft das Risiko der mit diesem Patch behobenen Lücken als kritisch ein.

Beschreibung

Laut Microsoft behebt der gegenständliche Patch eine Denial-of-Service (DOS) Möglichkeit - bereits durch vergleichsweise wenige speziell präparierte Anfragen an einen betroffenen Webserver, kann dessen Leistung derart beeinträchtigt werden, dass legitime Anfragen kaum noch abgearbeitet werden können.
Dies wird von Microsoft als "wichtig" eingestuft. ein Privilege Elevation-Problem, das nur unter bestimmten Umständen augenützt werden kann.
Dies ist laut Microsoft "kritisch".

Während die Lücke auch in allen aktuellen Client-Versionen von Microsoft Windows vorhanden ist (.NET Framework), kann sie jedoch nur ausgenutzt werden, wenn der Internet Information Server (IIS) auf dem System aktiv ist. Dies sollte auf Client-Systemen nur selten der Fall sein.

Betroffene Software

Windows XP Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 with SP2 for Itanium-based Systems Windows Vista Windows Vista Service Pack 2 Windows Vista x64 Edition Service Pack 2 Windows Server 2008 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for Itanium-based Systems Service Pack 2 Windows 7 Windows 7 for 32-bit Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Windows 7 for x64-based Systems Service Pack 1 Windows Server 2008 R2 Windows Server 2008 R2 for x64-based Systems Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for Itanium-based Systems Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

Abhilfe

Installation des bereitgestellten Updates, zum Beispiel über das Microsoft Download Center (http://www.microsoft.com/downloads/en/default.aspx).

Allgemeiner Hinweis zur Erhöhung der Computersicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall Software installiert zu haben und den Virenschutz aktuell zu halten. Informationsquelle(n):

Vulnerability in ASP.NET Could Allow Denial of Service (englisch)
http://technet.microsoft.com/en-us/security/advisory/2659883
Microsoft Security Bulletin MS11-100 - Critical (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100.mspx
Microsoft Security Bulletin Summary for December 2011 (englisch)
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec Sicherheitslücke in Microsoft Windows 7 64bit

Sicherheitslücke in Microsoft Windows 7 64bit

23. Dezember 2011

Eine Schwachstelle in Microsoft Windows 7 64bit in Kombination mit älteren Versionen des Internet Explorer ermöglicht System-Abstürze - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Microsoft konnte eine bislang ungepatchte Sicherheitslücke in der sogenannten "win32k.sys"-Komponente, die erst nur im Kombination mit dem Apple Safari Browser aufgetaucht war, nun auch mit älteren Versionen des Microsoft Internet Explorer nachvollziehen.

Es ist davon auszugehen, dass an entsprechendem Exploit-Code bereits intensiv gearbeitet wird.

Auswirkungen

Da je nach Angriffs-Szenario (z.B. Links auf präparierte Webseiten werden per Email verschickt) ein Angreifer zumindest System-Abstürze provozieren, und möglicherweise auch beliebigen Code auf betroffenen Systemen ausführen, kann, sind alle Daten auf diesen Systemen gefährdet.

Betroffene Systeme

Laut Aussagen von Microsoft sind 64bit-Versionen von Microsoft Windows 7 betroffen.
Es ist auch davon auszugehen, dass ein Ausnützen auch mit anderen Web-Browsern als Apple Safari und Microsoft Internet Explorer möglich ist.

Abhilfe

Zur Überbrückung bis zum offiziellen Patch emfehlen wir, auf betroffenen 64bit Windows 7 Systemen auf die aktuelle Version (9) von Microsoft Internet Explorer umzusteigen, da ein Ausnützen der Lücke damit nach derzeitigem Wissensstand nicht möglich ist.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. Informationsquelle(n):

Blog-Eintrag bei Microsoft
http://blogs.technet.com/b/michaelkranawetter/archive/2011/12/23/update-windows-7-64-bi-version-amp-apple-safari-details-zur-schwachstelle.aspx Schwachstelle in Adobe Reader und Acrobat

Schwachstelle in Adobe Reader und Acrobat

7. Dezember 2011

Beschreibung

Aktuell wird eine Schwachstelle in Adobe Reader und Acrobat aktiv für Angriffe ausgenutzt. Adobe hat dazu ein als "kritisch" eingestuftes Security Bulletin veröffentlicht. CVE Referenz-Nummer: CVE-2011-2462

Auswirkungen

In den Versionen 9.x von Adobe Reader und Acrobat ermöglicht diese Schwachstelle das Ausführen von Code, die Version X (10.x) enthält zwar auch den Fehler, dort verhindert dies aber der "Geschützter Modus", sofern dieser eingeschaltet ist.

Betroffene Systeme

Betroffen sind die Versionen 10.1.1, bzw. 9.4.6 und ältere von Adobe Reader und Acrobat.

Abhilfe

Eine korrigierte Version für die 9.x Version für Windows ist für die Woche des 12. Dezember angekündigt, die neue 10er Version wird im Rahmen des quartalsweisen Updates am 10. Jänner 2012 veröffentlicht werden.

Hinweise

Die Version X von Adobe Reader / Acrobat enthält mit dem "Geschützten Modus" ("Protected Mode" bzw. "Protected View") ein Verfahren, um die Auswirkungen einer Schwachstelle auf einen engen Bereich ("Sandbox") einzuschränken. Wie sich auch in diesem Fall gezeigt hat, kann dieses zusätzliche Sicherheitsnetz zwar Fehler nicht verhindern, aber die Folgen begrenzen. CERT.at empfiehlt daher wie Adobe -- so möglich -- von der Version 9.x gleich auf die Version X umzusteigen, und sicher zu stellen, dass dort die Einstellungen ("Bearbeiten" -> "Voreinstellungen") entsprechend gesetzt sind (hier für den Reader in der deutschen Version): Unter "Allgemein" den geschützten Modus einschalten. Unter "JavaScript" dieses ausschalten. Unter "Updater" die Autoupdate-Funktion einschalten. Generell unbenötigte Funktionen auszuschalten. Ob der geschützte Modus aktiv ist, sieht man unter "Datei"->"Eigenschaften" im Reiter "Erweitert". Von Adobe selber gibt es ausgiebige Informationen zu den Sicherheitsfeatures dieser Produkte, inbesondere einen Leitfaden für Unternehmensnetze.
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten. Informationsquelle(n):

Meldung von Adobe (englisch)
https://www.adobe.com/support/security/advisories/apsa11-04.html
Hintergrundinformationen dazu von Adobe (englisch)
http://blogs.adobe.com/asset/2011/12/background-on-cve-2011-2462.html
Meldung von Brian Krebs zu Adobe Reader Auto-Updates (englisch)
http://krebsonsecurity.com/2011/06/adobe-ships-security-patches-auto-update-feature/
Sicherheit in Adobe Acrobat und Adobe Reader
https://www.adobe.com/de/security/acrobat_reader/
Enterprise Administration for the Acrobat Family of Products
http://learn.adobe.com/wiki/download/attachments/64389123/AcrobatApplicationSecurity.pdf