![]() |
Emule <=0.29c hat schwere Sicherheitslücken Die Sicherheitslücken wurden in der Version 0..30a behoben. Allerdings geht dies aus dem changlog dieser Version nicht direkt hervor. Experten raten dringend auf die neue Version 0.30a zu upgraden! Zumal die Sicherheitslücken nun publik gemacht wurden und es wohl damit auch wahrscheinlicher wird, daß diese Sicherheitslücken auch bald ausgenutzt werden. Links zum Thema: http://www.heise.de/newsticker/data/dab-18.08.03-000/ http://lists.netsys.com/pipermail/fu...st/008449.html |
wieso komm ich bei dieser meldung nur auf den namen microsoft .... *denk* :?: :shock: |
Ich ziehe,wenn ich mich richtig errinnere ab der Version 9xx und davor mit Edonkey... meine Sicherheitslage dürfte sowieso bescheiden sein. :mrgreen: :mrgreen: :mrgreen: Januar :D |
Im übrigen noch die Info: es schüzt euch keine Firewall, da der ganz normale emule-Traffic für einen Angriff mißbraucht werden kann. Eine Firewall müßte also diesen Traffic analysieren und auch wissen wie gefährlicher Code aussieht. Dies ist so gut wie unmöglich. Nachdem gerade ziemlich viel Aufsehen gemacht wurde um das Sicherheitsrisiko sollte man aber dennoch bedenken, daß ein "böser Code" (um nicht das Wort Virus zu gebrauchen) nicht leicht zu programmieren ist und vielleicht auch nie programmiert wird. Insofern sollte man das Risiko nicht überbewerten. |
Dadurch das es jetzt und hier breit und groß erklärt wird werden es dank dir noch schneller mehr Leute wissen. Soviel dazu. Das das jetzt nach über 4 Wochen erst rauskommt ist auch etwas seltsam warum nicht früher ? Wo hatt Heise die Info her ist die von zb Ornis+ bestätigt oder ist das ein versuch der Software und Filmbranche den Esel lahmzulegen.(Falschmeldung) ? Apropo Microsoft so wie es aussieht hat sich der Erbauer des Blaster/Lovesan Wurms/Virus ja wohl selber lächerlich gemacht. Indem er Microsoft nachsagt (was nicht ganz unberechtigt ist)sie würden unsauber und schlecht proggen ,aber sein Prog selber voller Fehler steckte und im Endeefekt leicht auszutricksen war (Seite geändert). mfg Odinasgardson |
Odinasgardson, mich wundert es schon auch, daß 4 Wochen nirgends etwas darüber zu lesen war und genau einen Tag nach Erscheinden der neuen Version steht die Meldung nun langsam in jedem EDV-New-Ticker. Ein Trick um möglichst schnell alle User zum Umstieg zu bewegen ? :?: |
wundert mich auch und geht nur alle Boards wie ein Lauffeuer .... ich traue dem ganzen Nicht und warte darauf bis ich eine vernünftig , modifizierte der 30a finde .. von , Sivka , Morph usw.. erst DANN steige ich um !!! |
Zitat:
Das ist so nicht ganz richtig :) Wie diese schöne flash demo zeigt: http://www.iss.net/blackice_demo/High/high.html |
Blacklotus, hab mir das schöne demo mal ein wneig angeschaut, allerdings bin ich dabei nicht daraufgekommen warum meine Aussage falsch sein sollte !? Egal welche Firewall... die emule-ports sind offen und emule kommuniziert mit anderen Clients/Server. Wie soll denn die Firewall entdecken, daß keine Nutzdaten übermittelt wurden sondern irgendetwas schädliches ? |
@ Xman, Hast wohl nicht aufgepasst :wink: "Intrusion Detection" nennt sich das und er erkennt auch getarnte Codes bzw in einer Datei versteckte Files. Das hatt fast jede Firewall soweit ich weiß wobei ich mir aber nur 100 % bei Norton und jetzt auch bei Blackice sicher bin.Da ich eine andere noch nicht wirklich getestet hab. mfg Odinasgardson |
Odinasgardson, ich gibs zu, daß ich nicht ganz aufgepaßt hab (schnell gesprochenes Englisch ist nich so unbedingt mein Ding). Ich kenn zwar Intrusion Detection, doch ehrlich gesagt weiß ich zu wenig Details darüber wie gut dies funktioniert. Ich zweifel ein wenig über dessen 100% wirksamkeit ;-) Im übrigen ist die Aussage, daß eine Firewall nichts bringt nicht auf meinem Mist gewachsen, sondern hab ich das in irgendeinem Bericht gelesen. (Link vergessen, sonst hät ichs gepostet) |
Zitat:
|
Ohoh.. ohne euch jetzt zu nahe treten zu wollen: ID[S] (Intrusion Detection [System]) erkennt keine Files in Dateien oder getarnten bösen Code, Mit Intrusion Detetcion kann man anhand von Patterns (Mustern) im Netzwerkverkehr einen Eindringling oder einen Eindringversuch nachweisen. Zum Beispiel läßt [Sun Jul 27 12:10:56 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe [Sun Jul 27 12:10:59 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe [Sun Jul 27 12:11:01 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.exe [Sun Jul 27 12:11:03 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe [Sun Jul 27 12:11:06 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Sun Jul 27 12:11:08 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Sun Jul 27 12:11:10 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/msadc/..%5c../..%5c../..%5c/..301^\../..301^\../..301^\../winnt/system32/c [Sun Jul 27 12:11:13 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..301^\../winnt/system32/cmd.exe [Sun Jul 27 12:11:18 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..300257../winnt/system32/cmd.exe [Sun Jul 27 12:11:21 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..301234../winnt/system32/cmd.exe [Sun Jul 27 12:11:27 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe [Sun Jul 27 12:11:29 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%2f../winnt/system32/cmd.exe [Sun Jul 27 15:08:00 2003] Sowas (oder halt Fragmente daraus) auf nen aktiven Nimda Wurm schliessen (die gibt es immer noch!). IDS erkennt solche (bekannten) Angriffsmuster und handelt dann nach Regeln--> Angreifer sperren oder Alarm schlagen o.ä. Bekannte und kostenlose IDS: Snort Warum die Sicherheitslücke erst jetzt an die Öffentlichkeit gekommen ist? Weil es ein netter Analyst war! Nee im ernst: es gehört zum guten 'Ton' dem Hersteller (in dem Fall Emule-Project) die Chance zu geben eine fehlerfreie/gepatchte Version rauszubringen und erst dann die Veröffentlichung über die Sicherheitslücke zu machen. Schön auch an der History in dem Advisory zu sehen. Noch ist es nicht so interessant, aber sobald der angekündigte Proof of Concept (Expolit) kommt, sollte jeder ne 30a Version haben, bevor die Scriptkiddies mehr Spielplatz haben als bei CodeRed und Blaster zusammen. Wobei: 10 Millionen infizierte Zombies?? DIE WELT GEHÖRT MIR HARHAR! Eine Firewall schützt nicht, die blockt nur Ports/Traffic. eine Stateful-inspection firewall könnte das, aber dann müßte auch das Emule-Protokoll eingepflegt sein und der fehlerhafte Funktionsaufruf/Parameterstring, der den Bug auslöst bekannt und als unzulässig erkannt sein. --> Wird es nicht geben. So genug der Worte. Flame me if you can - survive if i let you! edit: solange in der 30a die 2 Sicherheitslücke gefixt ist und der nichts darüber sagt, weil der Angriff zu trivial ist bin ich da ganz glücklich drüber solang meine Statistik im Esel noch tausende von alten Versionen zeigt. |
Zitat:
Zitat:
/dev/NULL, danke für Deine Ausfürhung. Ich denke das hat einiges zur Aufklärung beigetragen. Über welche 2. Sicherheitslücke sprecht ihr eigentlich ? In den hier angegebenen Links spricht Esser von 4 Lücken die nun aber alle gestopft sind. 2 dieser Lücken können aber nur von einem emule-Server ausgenutzt werden, was unwahrscheinlich ist. |
Ich denke mit der 'Zweiten' Sicherheitslücke ist: AttachToAlreadyKnownObject gemeint, da der Autor da keine genaueren Angaben macht. Auch denke ich man kann auch von nicht Servern die Pakete geschickt bekommen (spoofed IPs etc.) updaten sollte man also umgehend, da nur so die 4 nekannten Sicherheitslücken gefixt sind. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:04 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.