Archiv der Kategorie: Sicherheit

WordPress Version 2.0.6 behebt schwere Sicherheitsfehler.

WordPress 2.0.5 und die Vorgängerversionen enthalten zwei gravierende Sicherheitslücken. Eine Lücke ermöglicht fremden PHP-Code auszuführen und die zweite ermöglicht die Administrator Rechte in WordPress zu übernehmen und damit vollständig Zugriff auf die Anwendung zu bekommen.
Alle Benutzer werden dringen aufgefordert WordPress so schnell wie möglich zu aktualisieren, da bereits Exploits für die Fehler erschienen sind und damit die Fehler aktiv ausgenutzt werden!

Der erste Fehler basiert auf einer fehlerhaften Zeichenüberprüfung bei der Verarbeitung von Trackbacks. Damit die Zeichen von verschiedenen Codierungen konvertiert werden, benutzt WordPress die PHP-Funktion mbstring um Diese zu konvertieren. Zwar erfolgt eine Prüfung auf SQL-Injections vor der Konvertierung, aber die Überprüfung nach der Konvertierung fehlt. Damit haben Angreifer die Möglichkeit, SQL-Befehle mit fremden Kodierungen WordPress unter zu schieben. Dieser Fehler ist in der Version 2.0.6 behoben.

Der zweite Fehler ist ein Cross Site Scripting(XSS) Fehler, der es dem Angreifer ermöglicht dem angemeldeten WordPress Benutzer(z.B. dem Administrator) URLs unter zu schieben. Diese werden mit den Rechten des angemeldeten Benutzers ausgeführt und ermöglichen damit dem Angreifer, Befehle unter zu schieben, die mit den rechten des Benutzers ausgeführt werden.

In der neuen Version wurden ebenfalls Fehler entfernt und Kompatibilitätsprobleme mit Safari und PHP/FastCGI behoben. Ein Filter für Kommentare soll zusätzlich Schwierigkeiten mit Layouts behben.
Quellen und Hinweise:

PHPbb Forum wieder mal mit Crosssite Scripting Fehlern und mangelhafter Überprüfung von Eingaben

php enthält mehrere Fehler und sollte dringend von Benutzern aktualisiert werden.
Durch einen Cross site scripting Fehler war es möglich benutzern durch private Nachrichten Inhalte unter zu schieben. Dazu wurde eine mangelhafte Überprüfung von upload Verzeichnissen für Avatare korrigiert.

Die aktuelle Version von phpBB 2.0.22 steht allen Nutzern zum Runterladen bereit. Die deutschen Übersetzungen für phpBB werden noch bearbeitet und sollen demnächst zur Verfügung stehen.
Quellen und weitere Hinweise:

Haben Sie was von Datenschutz, Privatsphäre und vor allem Demokratie gehört Herr Schäuble?

Die Kontrolle und die Sammelwut von Daten durch Behörden scheint kein Ende zu nehmen. Die Provider werden dazu verdonnert jegliche Verbindungsdaten und E-Mails zu speichern. Jetzt scheint die nächste Spitze des Berges anzugehen. Bundesinnenminister Wolfgang Schäuble will Behörden die Möglichkeit einräumen PCs per Internet fernsteuern zu lassen. Dabei scheinen Sachen wie Privatsphäre, Datenschutz und vor allem die Demokratie immer mehr mit Füßen getreten zu werden.

Wenn es auch vielleicht übertrieben klingt, aber ich fühle mich ganz klar als Terrorist abgestempelt, da ich faktisch auf jeden Schritt und Tritt durch Kameras, E-Mail Überwachung und weitere Maßnahmen meine Privatsphäre verletzt fühle.
Natürlich gibt es Maßnahmen wie Verschlüsselung die den Herren vom Amt die Arbeit fast unmöglich machen. Aber das ist nicht Sinn der Sache, den bei großflächiger Nutzung würde solche Technik sofort als rechtswidrig und als Vertuschungsversuch bezeichnet. Was aber das Wichtigste ist, dass solche Verbote für Leute(„Terroristen“, Verbrecher) die sich an Gesetze sowieso nicht halten auch diese Verbote nicht beachten werden.

Wenn ich mir damit sehr viel Ärger einhandeln kann, möchte ich Folgendes trotzdem sagen:

Haben die Herren von der Terrorbekämpfung mal nachgedacht, dass auch die dümmsten „Terroristen“ sich von einem Studenten für 100 Euro zeigen lassen können wie sie per Internet verschlüsselt und damit absolut sicher kommunizieren können. Wenn es Firmen schwer ist auf solche Systeme umzustellen, dann heißt es nicht, dass es für lose Gruppen verteilt über die ganze Welt unmöglich sein wird.
OpenPGP, GnuPG und viele Internetnutzer zeigen, was einfach und effektiv funktioniert. Wenn man Interesse daran hat, dann kann man es sogar kostenlos in einer der vielen Tutorials im Internet nachlesen und installieren.
Deswegen möchte ich ganz klar sagen – mit der Überwachung werden unschuldige Bürger überwacht und nicht diejenigen, die es eigentlich treffen sollte, den meine Beispiele zeigen ganz klar, dass solche Maßnahmen sehr effektiv bekämpft werden können.

Außerdem will ich sehen, wie Sie alle PCs Deutschlands und vor allem importierte PCs mit einer Überwachungssoftware oder -firmware austatten wollen. Übrigens sind Laptops im Ausland billiger und ganz bestimmt ohne „Deutsche Überwachungsmethoden“!

Damit einen guten Rutsch ins Überwachungszeitalter und ein Hoch auf 2007!

Quellen und weitere Hinweise:

Typo3 mit schwerem Sicherheitsfehler durch unterschieben von Systemkommandos

Auch das unter den Nutzern als sehr sicher geltende Typo3 zeigt Schwächen. Wie die Entwickler warnen lässt sich Typo3 Systembefehle unterschieben. Damit  lassen sich mit den Rechten des Benutzers jegliche Befehle auf dem System ausführen. Allen Nutzern wird empfohlen ihre Version zu aktualisieren. Auf der Typo3 Seite stehen gepatchte Version zur Verfügung.

Von dem Fehler sind alle Versionen ab Typo3 3.7 betroffen und sollten so schnell wie möglich aktualisiert werden, da für das Ausnutzen des Fehlers keine Anmeldung an Typo3 erforderlich ist!

Der Fehler besteht in dem Modul rtehtmlarea. Dieser ist ab der Typo3 Version 4.X standardmäßig aktiviert und reist damit ein riesiges Loch in der Anwedung und den Server selbst. Bei bestehenden Lokal User Lücken wäre der Benutzer damit in der Lage das ganze System zu übernehmen, also zu „root“-Rechten zu gelangen.
Das Modul dient der Rechtschreibprüfung und nutzt dazu die Sprachüberprüfung „aspell“ zum Prüfen der Eingaben. Hier wird eine unzureichende Filterung der Eingaben durchgeführt, was dem Angreifer erlaubt Systembefehle zu übergeben.

Quellen und weitere Hinweise:

Ich danke Ordb für die hervorragende Arbeit für die Spambekämpfung, wenn sie jetzt auch vorbei ist

Ordb schließt ihre Pforten. Damit verlieren erste Dienste aus den Anfängen der Spambekämpfung ihre Bedeutung und schließen die Pforten. Als Nutzer der Open Relay Databse möchte ich den Betreibern danken.
Eure Seite war immer eine sehr große Hilfe für mich, da ich damit in der Lage war die großen offenen Relays zu filtern und bestehende Server auf ihre Relay Fähigkeiten zu testen.

Die Betreiber empfehlen den Nutzern eine Kombination aus Greylisting und Analyse von Inhalten wie Spamassassin.

Verabschiedungsmeldung des ORDB Teams:

WordPress Update auf Version 2.0.5

Die neue WordPress Version 2.0.5 bringt keine großen Neuerungen mit sich, sondern dient der Pflege von Fehlern und insbesondere Sicherheitsfehler.

Jeder Benutzer von WordPress sollte so schnell wie möglich auf die neue Version aktualisieren, da hier als 50 Fehler behoben wurden.

Bei mir verlief das Update ohne Schwierigkeiten. Man sollte einfach der Anleitung folgen und die besagt:

  1. Die alte Version von WordPress sichern
  2. Datenbank sichern – sicher ist sicher 😉
  3. Alle Plugins deaktivieren, fall Diese zu der neuen Version inkompatibel sein sollten (wo ist Reiz zu Risiko 😀 )
  4. Alte Version von WordPress umbennen
  5. Neue Version entpacken und auf die Stelle der alten Installation kopieren
  6. Von der alten Version die folgenden Dateien kopieren:
    – wp-content (Ordner mit Themes und anderen tollen Sachen)
    – wp-config.php (Konfigurationsdatei)
  7. die http://www.deineadresse.com/wp-admin/upgrade.php im Browser ausführen, damit alle Aktualisierungen durchgeführt werden.
  8. Hoffen, dass alles glatt gelaufen ist und seinen Blog mal testhalber aufrufen
  9. Sich freuen, dass alles funktioniert hat
  10. Den Entwicklern danken 😉

Weitere Informationen sind hier zu haben:

Linux Kernel 2.4.33 + Grsecurity 2.1.9

Mit der heutigen Veröffentlichung von Grsecurity für den Kernel 2.4.33 werden damit etliche Fehler und Sicherheitsfehler in dem Kernel 2.4.33 geschlossen.
Die Aktualisierunge waren auch dringend nötig, da in dem Kernel 2.4.32 etliche Sicherheitslücken mit Proof of Concept Exploits existierten.

Dazu führt die aktuelle Grsecurity Version weitere Sicherheitsmaßnahmen gegen Kernel-Exploits ein. Die vom Pax Team entwickelte Erweiteurng PaX UDEREF erhöht damit die Sicherheit des Linux Kernels um eine weitere Stufe.

Ich bendanke mich wie immer bei dem neuen Kernel Maintener und Brad Spengler für die hervorragende Arbeit.

Quellen und weitere Informationen:

Neue Version des Apache Webservers behebt kritische Sicherheitslücke

Die gemeldete Sicherheitslücke in mod_rewrite wurde von den Apache Entwicklern am 28.07.2006 behoben. Gentoo und Debian stellten Heute aktualisierte Versionen der Pakete zur Verfügung, die den Fehler beheben.
Jedem Administrator wird empfohlen die Version vom Apache Webserver zu aktualisieren, da sich über die Lücke eventuell beliebiger Code einschleußen und ausführen lässt. Wer den Webserver selbst compeliert hat, sollte seine Version dringend aktualisieren.

Die beschriebene Schwachstelle im mod_rewrite-Modul wird möglich, wenn der Angreifer den Anfang der URL umschreiben kann und die Flags Forbidden, NoEscape oder Gone nicht gesetzt sind. Durch den Fehler kann ein 1-Byte-Pufferüberlauf auftreten, über den eventuell eingeschleuster Code ausgeführt werden kann.

Dieser Sicherheitsfehler wird als kritisch eingestuft, wenn auch bis jetzt keine Exploits veröffentlicht wurden. Jeder Administrator sollte seine Apache Version aktualisieren!

Weitere Informationen zu der Meldung:

WordPress 2.0.4 mit behobenen Sicherheitslücken und …

Am 29.07.2006 ist eine aktuelle Version 2.0.4 von WordPress erschienen, dass mehrere Sicherheitslücken und über 50 andere Fehler behebt. Jeder Nutzer wird aufgefordert ihre Version so schnell wie möglich auf die aktuelle Version zu aktualisieren.

Die Aktualisierung ist gänzlich einfach. Man überschreibt seine alte Version mit der aktuellen Version oder halt nur die gepatchten Dateien. Jeder sollte allerdings vor dem Update seine aktuelle Version sichern, um Schäden bei Problemen zu minimieren.
Die aktuellen Versionen sind auf den WordPress Seiten zu finden:

Meldungen der Entwickler sind auf den folgenden Seiten zu finden:

Regular Expressions stellen unter PHP eine Sicherheitsgefährung dar

Viele Entwickler benutzen Regular Expressions um Eingaben zu validieren oder Inhalte auf ihre Korrektheit zu prüfen.

Die von RedTeam Pentesting gefundene Sicherheitslücke in der PHP-Funktion eregi() stellt eine besondere Gefahr dar. Die Funktion ist in der Programmiersprache C programmiert und erkennt das Null-Terminierungszeichen „\0“ als Ende des Strings. Laut RedTeam Pentesting werden alle Zeichen nach dem Null-Terminierungszeichen nicht mehr beachtet und damit nicht validiert.

Das Beispiel in dem Heise-Newsticker verdeutlicht das Problem: Heise-Newsticker Meldung

Das Verhalten der eregi() Funktion ist keine neue Erkenntnis, sondern schon lange bekannt. Der älteste Bugtraq Eintrag zu dieser Funktion datiert auf das Jahr 2002. Die Antwort zu diesem Problem war ein simpler Eintrag: „Eregi ist nicht binary safe“. Das bedeutet man kann Überprüfungen mit dieser Funktion ganz einfach umgehen indem man ein Null-Terminierungszeichen einfügt und die weiteren Inhalte ohne Validierung übergibt.

Das größere Problem ist, dass sich kaum ein Programmierer die vollständige Dokumentation zu dieser Funktion durchliest und damit nicht weiß, dass die Funktion gefährlich ist!

Das Problem kann man mit Magic Quotes umgehen, die Sonderzeichen wie ‚, „, \ und NULL in einer Zeichenkette automatisch einen Backslash(\) voranstellt. Eine Saubere Lösung wäre aber der Einsatz der Perl-Syntax-kompatiblen preg_*-Funktion.

Quellen und Informationen: