Im Gegensatz zu dem Patch-Review vom Januar, der als "ziemlich verpatchter Monat" proklamiert wurde, ist der
Februar als total verpatchter Monat zu bezeichnen. In einem auf ein paar Zeilen gestraften Rückblick, kann
natürlich nicht jede Anwendung hier zu ihrer verdienten Erwähnung kommen, aber dennoch sollte ein Versuch
gestattet sein.
Den Beginn darf natürlich
Microsoft machen,
der für den Monat Februar das dreckige Dutzend ins Rennen schickte, von denen 6 mit "kritisch" und die
anderen 6 mit "hoch" eingestuft wurden. Aus der Sicht des Patchmanagements sind (abhängig vom vorliegenden
Umfeld) etwa zehn der veröffentlichten Patches vor allem für Clients und Terminalserver relevant. Dabei
wurden nun endlich auch die vier Office-Exploits beseitigt, die inzwischen schon durch virale Vertreter
im Internet ihre Runden drehen. Doch schon kurz nachdem die Februar-Patches veröffentlicht wurden, meldete
Microsoft, dass in einem bisher nicht näher erläuterten Verfahren, in der Anwendung Word eine weitere
kritische Sicherheitsanfälligkeit vorliegt, der die
Ausführung von Fremdcode ermöglichen soll. Das Einschleusen des Codes kann dabei über manipulierte
Word-Dateien erfolgen, die über Mail versendet oder auf Webseiten angeboten werden. Betroffen von dieser
Lücke sind Office 2000 und Office XP.
Arg in die Bredouille geraten war
Trend Micro. Der Sicherheitsdienstleister iDefense konnte zwei
kritische Fehler im Virenscanner-Tool ausmachen. Über manipulierte
UPX-komprimierte Dateien kann
ein Pufferüberlauf provoziert werden, der einen Absturz der Anwendung bewirkt oder unter Umständen auch das
Einschleusen und Ausführen von Fremdcode ermöglicht. Eine weiterer Fehler im
Rootkit-Erkennungstool,
eröffnet lokalen Anwendern die Möglichkeit beliebige Speicherbereiche zu überschreiben oder eigenen
Programmcode mit Systemrechten auszuführen. Betroffen sind hiervon alle Produkte und Versionen von TrendMicro,
die von der ScanEngine Gebrauch machen.
Mehrere mittel-schwere
Sicherheitsanfälligkeiten wurden auch in Samba gemeldet.
Erfolgreiche Ausnutzung der Fehler ermöglicht hier einen DoS-Angriff auf dem betroffenen Server zu starten
oder das Einschleusen von Fremdcode, wobei hier spezielle Server-Einstellungen vorliegen müssen. Ein Update
auf die Version 3.0.24 beseitigt die genannten Sicherheitsanfälligkeiten.
Seltener hört man etwas von
RARLabs. Dessen weitverbreitete Anwendung WinRAR musste nun aber
Aufmerksamkeit auf sich ziehen, nachdem bekannt wurde das ein
kritischen Fehler
in der Anwendung steckt. Entsprechend präparierte, passwortgeschützte Archive im rar-Format können einen
Pufferüberlauf auslösen und so beliebigen Programmcode ausführen. Es empfiehlt sich die aktuelle Version
von WinRAR einzusetzen. Gemeldet wurde dieser Fehler in der Version 3.60 für Linux und 3.61 für Windows.
Kritische Sicherheitslücken wurden auch in Firefox geschlossen. So waren hier Anfälligkeiten für Phishing,
Cross Site Scripting und für die Offenlegung von sensiblen Daten vorhanden. Verursacht wurden diese
Anfälligkeiten auf verschiedene Art und Weise. Z.B. werden URL-Adressen mit angefügten NULL-Zeichen
("\x00") fehlerhaft verarbeitet. Probleme gibt es aber auch in nicht korrekt terminierten XBM(X BitMap)-Grafiken.
Weitere Details sind über
Mozilla zu bekommen.
Für ein kleines Verwirrspiel sorgte Postgresql, der wegen
Sicherheitsanfälligkeiten in ihrer Datenbank,
ein entsprechend dafür herausgegebenen Patch einen Tag später nochmals durch einen anderen Patch ersetzen mussten.
Die Sicherheitslücken wurden vom Hersteller nicht weiter erläutert, jedoch sollen sie es potentiell ermöglichen,
sensible Daten der Datenbank zu offenbaren oder einen DoS auf dem betroffenen Rechner zu initiieren. Betroffen sind die Versionen PostgreSQL 7 als auch 8.
Das bekannte Content Management System Typo hingegen bot Spammern die Möglichkeit über einen
unspezifizierten Fehler
in der Form-Engine, beliebige Header in eine Mail einzufügen und damit die Möglichkeit Spammails zu versenden.
Betroffen sind Version die älter als 4.05, 4.1 beta und 4.1RC1.
Netzwerke die mit Snort überwacht werden, laufen Gefahr kompromittiert zu werden, wenn die Versionen 2.6.X
bis 2.7.X eingesetzt werden. Ein provozierter
Pufferüberlauf im Präprozessor zur
Verarbeitung des DCE/RPC-Protokolls macht das Einschleusen und Ausführen von Fremdcode möglich. Es erlaubt sogar
einen Angriff aus dem Internet heraus, wenn DCE/RPC-Pakete von ausserhalb des Netzwerks nicht von einer
Firewall ausgefiltert werden. Wer mit dieser Version von Snort sein Netzwerk überwacht, sollte unbedingt über
ein Update nachdenken.
Auch PHP bleibt weiter im Blickfeld vieler Entwickler und Fehlersucher. Mit der aktuellen Version 5.2.1 werden
gleich mehr als
ein Dutzend Sicherheitsanfälligkeiten
beseitigt. Mehrheitlich Stack und Buffer Overflows in den verschiedenen Erweiterungen wird der garaus gemacht,
durch die sonst ein Denial of Service möglich wäre oder die Offenlegung von sensiblen Informationen.
Betroffen sind die Versionen PHP 4.4.x und PHP 5.2.x. Ein Update auf version 5.2.1 oder 4.4.5 ist hier
wärmstens zu empfehlen.
News kommentieren