Emule <=0.29c hat schwere Sicherheitslücken

**Xman** · 18. August 2003, 11:58

Die Sicherheitslücken wurden in der Version 0..30a behoben. Allerdings geht dies aus dem changlog dieser Version nicht direkt hervor.

Experten raten dringend auf die neue Version 0.30a zu upgraden! Zumal die Sicherheitslücken nun publik gemacht wurden und es wohl damit auch wahrscheinlicher wird, daß diese Sicherheitslücken auch bald ausgenutzt werden.

Links zum Thema:
http://www.heise.de/newsticker/data/dab-18.08.03-000/
http://lists.netsys.com/pipermail/fu...st/008449.html

Anonymous · 18. August 2003, 14:38

wieso komm ich bei dieser meldung nur auf den namen microsoft .... *denk*

Januar1956 · 18. August 2003, 15:02

Ich ziehe,wenn ich mich richtig errinnere ab der Version 9xx und davor mit Edonkey... meine Sicherheitslage dürfte sowieso bescheiden sein.

Januar

**Xman** · 18. August 2003, 15:42

Im übrigen noch die Info:
es schüzt euch keine Firewall, da der ganz normale emule-Traffic für einen Angriff mißbraucht werden kann. Eine Firewall müßte also diesen Traffic analysieren und auch wissen wie gefährlicher Code aussieht. Dies ist so gut wie unmöglich.

Nachdem gerade ziemlich viel Aufsehen gemacht wurde um das Sicherheitsrisiko sollte man aber dennoch bedenken, daß ein "böser Code" (um nicht das Wort Virus zu gebrauchen) nicht leicht zu programmieren ist und vielleicht auch nie programmiert wird. Insofern sollte man das Risiko nicht überbewerten.

Odinasgardson · 18. August 2003, 15:52

Dadurch das es jetzt und hier breit und groß erklärt wird werden es dank dir noch schneller mehr Leute wissen.
Soviel dazu.
Das das jetzt nach über 4 Wochen erst rauskommt ist auch etwas seltsam warum nicht früher ?
Wo hatt Heise die Info her ist die von zb Ornis+ bestätigt oder ist das ein versuch der Software und Filmbranche den Esel lahmzulegen.(Falschmeldung) ?

Apropo Microsoft so wie es aussieht hat sich der Erbauer des Blaster/Lovesan Wurms/Virus ja wohl selber lächerlich gemacht.
Indem er Microsoft nachsagt (was nicht ganz unberechtigt ist)sie würden unsauber und schlecht proggen ,aber sein Prog selber voller Fehler steckte und im Endeefekt leicht auszutricksen war (Seite geändert).

mfg
Odinasgardson

**Xman** · 18. August 2003, 15:58

Odinasgardson,
mich wundert es schon auch, daß 4 Wochen nirgends etwas darüber zu lesen war und genau einen Tag nach Erscheinden der neuen Version steht die Meldung nun langsam in jedem EDV-New-Ticker.
Ein Trick um möglichst schnell alle User zum Umstieg zu bewegen ?

DQA321 · 18. August 2003, 16:01

wundert mich auch und geht nur alle Boards wie ein Lauffeuer .... ich traue dem ganzen Nicht und warte darauf bis ich eine vernünftig , modifizierte der 30a finde .. von , Sivka , Morph usw.. erst DANN steige ich um !!!

Blacklotus · 18. August 2003, 16:59

Zitat:

Zitat von Xman

es schüzt euch keine Firewall, da der ganz normale emule-Traffic für einen Angriff mißbraucht werden kann. Eine Firewall müßte also diesen Traffic analysieren und auch wissen wie gefährlicher Code aussieht. Dies ist so gut wie unmöglich.

Das ist so nicht ganz richtig

Wie diese schöne flash demo zeigt:
http://www.iss.net/blackice_demo/High/high.html

**Xman** · 18. August 2003, 17:31

Blacklotus,
hab mir das schöne demo mal ein wneig angeschaut, allerdings bin ich dabei nicht daraufgekommen warum meine Aussage falsch sein sollte !?

Egal welche Firewall... die emule-ports sind offen und emule kommuniziert mit anderen Clients/Server. Wie soll denn die Firewall entdecken, daß keine Nutzdaten übermittelt wurden sondern irgendetwas schädliches ?

Odinasgardson · 18. August 2003, 17:40

@ Xman, Hast wohl nicht aufgepasst

"Intrusion Detection" nennt sich das und er erkennt auch getarnte Codes bzw in einer Datei versteckte Files.

Das hatt fast jede Firewall soweit ich weiß wobei ich mir aber nur 100 % bei Norton und jetzt auch bei Blackice sicher bin.Da ich eine andere noch nicht wirklich getestet hab.

mfg
Odinasgardson

**Xman** · 18. August 2003, 18:24

Odinasgardson,
ich gibs zu, daß ich nicht ganz aufgepaßt hab (schnell gesprochenes Englisch ist nich so unbedingt mein Ding). Ich kenn zwar Intrusion Detection, doch ehrlich gesagt weiß ich zu wenig Details darüber wie gut dies funktioniert.
Ich zweifel ein wenig über dessen 100% wirksamkeit

Im übrigen ist die Aussage, daß eine Firewall nichts bringt nicht auf meinem Mist gewachsen, sondern hab ich das in irgendeinem Bericht gelesen. (Link vergessen, sonst hät ichs gepostet)

Blacklotus · 18. August 2003, 18:33

Zitat:

Zitat von Xman

Ich zweifel ein wenig über dessen 100% wirksamkeit

Richtig solange dem "Intrusion Detection System" die Attacke noch nicht bekannt ist wird es nichts dagegen unternehmen. Und wenn dieser S. Esser nichts über die 2 Sicherheitslücke sagt ist natürlich auch Klasse

/dev/NULL · 18. August 2003, 18:40

Ohoh.. ohne euch jetzt zu nahe treten zu wollen:

ID[S] (Intrusion Detection [System]) erkennt keine Files in Dateien oder getarnten bösen Code, Mit Intrusion Detetcion kann man anhand von Patterns (Mustern) im Netzwerkverkehr einen Eindringling oder einen Eindringversuch nachweisen.
Zum Beispiel läßt [Sun Jul 27 12:10:56 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe
[Sun Jul 27 12:10:59 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe
[Sun Jul 27 12:11:01 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.exe
[Sun Jul 27 12:11:03 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jul 27 12:11:06 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jul 27 12:11:08 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jul 27 12:11:10 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/msadc/..%5c../..%5c../..%5c/..301^\../..301^\../..301^\../winnt/system32/c
[Sun Jul 27 12:11:13 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..301^\../winnt/system32/cmd.exe
[Sun Jul 27 12:11:18 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..300257../winnt/system32/cmd.exe
[Sun Jul 27 12:11:21 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..301234../winnt/system32/cmd.exe
[Sun Jul 27 12:11:27 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jul 27 12:11:29 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%2f../winnt/system32/cmd.exe
[Sun Jul 27 15:08:00 2003]

Sowas (oder halt Fragmente daraus) auf nen aktiven Nimda Wurm schliessen (die gibt es immer noch!).

IDS erkennt solche (bekannten) Angriffsmuster und handelt dann nach Regeln--> Angreifer sperren oder Alarm schlagen o.ä.

Bekannte und kostenlose IDS: Snort

Warum die Sicherheitslücke erst jetzt an die Öffentlichkeit gekommen ist?
Weil es ein netter Analyst war!
Nee im ernst: es gehört zum guten 'Ton' dem Hersteller (in dem Fall Emule-Project) die Chance zu geben eine fehlerfreie/gepatchte Version rauszubringen und erst dann die Veröffentlichung über die Sicherheitslücke zu machen.

Schön auch an der History in dem Advisory zu sehen.

Noch ist es nicht so interessant, aber sobald der angekündigte Proof of Concept (Expolit) kommt, sollte jeder ne 30a Version haben, bevor die Scriptkiddies mehr Spielplatz haben als bei CodeRed und Blaster zusammen.
Wobei: 10 Millionen infizierte Zombies?? DIE WELT GEHÖRT MIR HARHAR!

Eine Firewall schützt nicht, die blockt nur Ports/Traffic. eine Stateful-inspection firewall könnte das, aber dann müßte auch das Emule-Protokoll eingepflegt sein und der fehlerhafte Funktionsaufruf/Parameterstring, der den Bug auslöst bekannt und als unzulässig erkannt sein. --> Wird es nicht geben.

So genug der Worte.

Flame me if you can - survive if i let you!

edit: solange in der 30a die 2 Sicherheitslücke gefixt ist und der nichts darüber sagt, weil der Angriff zu trivial ist bin ich da ganz glücklich drüber solang meine Statistik im Esel noch tausende von alten Versionen zeigt.

**Xman** · 18. August 2003, 18:54

Zitat:

Zitat von Blacklotus

Richtig solange dem "Intrusion Detection System" die Attacke noch nicht bekannt ist wird es nichts dagegen unternehmen.

Genau das meinte ich ja oben als ich schrieb:

Zitat:

Eine Firewall müßte also diesen Traffic analysieren und auch wissen wie gefährlicher Code aussieht. Dies ist so gut wie unmöglich.

Ok, hatte mich da vielleicht etwas zu laienhaft ausgedrückt.

/dev/NULL,
danke für Deine Ausfürhung. Ich denke das hat einiges zur Aufklärung beigetragen.

Über welche 2. Sicherheitslücke sprecht ihr eigentlich ? In den hier angegebenen Links spricht Esser von 4 Lücken die nun aber alle gestopft sind. 2 dieser Lücken können aber nur von einem emule-Server ausgenutzt werden, was unwahrscheinlich ist.

/dev/NULL · 18. August 2003, 19:10

Ich denke mit der 'Zweiten' Sicherheitslücke ist: AttachToAlreadyKnownObject gemeint, da der Autor da keine genaueren Angaben macht.

Auch denke ich man kann auch von nicht Servern die Pakete geschickt bekommen (spoofed IPs etc.) updaten sollte man also umgehend, da nur so die 4 nekannten Sicherheitslücken gefixt sind.

Ähnliche Themen: Emule <=0.29c hat schwere Sicherheitslücken