Sicherheitslücken über Ostern – #secuthursday KW 15/2015

Header-Logo Sicherheit am Donnerstag

Wir ersparen uns Witze über Sicherheitslücken versteckende Osterhasen und reden über gesprächige DNS-Server, opportunistische Verschlüsselung sowie ein WordPress Plugin.

DNS-Server: Korrekte Whitelist gegen unerlaubte Zonentransfers

DNS-Server beantworten Anfragen zur Namensauflösung und stellen damit einen elementaren Baustein für die Erreichbarkeit von Webdiensten dar. Eine fehlerhafte Konfiguration stellt bei diesen, öffentlich erreichbaren, Diensten ein potentielles Einfallstor für Angriffe dar. Werden mehrere Zonen mit primären und sekundären DNS-Servern betrieben, sollte der Masterserver AXFR-Anfragen für Zonentransfers nur bei berechtigten Systemen beantworten, die über Whitelisteinträge definiert werden. Fehlen diese Einträge, verrät der Masterserver unter Umständen alle Hosts, also auch Subdomains, die nicht öffentlich zugänglich sein sollten. Wenn der verantwortliche Administrator diese nicht ausreichend gesichert hat (schließlich sind sie ja “nicht öffentlich verzeichnet”), entstehen Sicherheitslücken und damit potentielle Angriffsmöglichkeiten auf die IT-Infrastruktur und geschäftskritische Dienste. Die Website Internetwache.org veröffentlichte Ende März die Ergebnisse eines Scans der Alexa Top Million Webseiten. Ihr Script erhielt bei 132854 (also 7,5%) Versuchen eine Antwort und konnte bei 72401 Domains bzw. 48448 Nameservern das Problem nachweisen. (Im gleichen Blogartikel wird auch eine einfache Testmöglichkeit für die eigenen DNS-Server beschrieben.) Die Verfasser staunen im Fazit über die Häufigkeit der problematischen Antworten, denn schon vor zwei Jahrzehnten sei über dieses Thema diskutiert worden.

 

Firefox 37 ermöglicht Zertifikatsbypass in HTTP Alternative Services Implementation.

Schon kurz nach der Einführung in der Version 37 musste Mozilla die „opportunistic encryption“ in der Version 37.01 wieder deaktivieren. Die Implementation für „Alternative Services“ im HTTP/2-Protokoll enthielt einen Fehler, der die Prüfung und etwaige Sicherheitswarnungen im Falle eines selbstsignierten Zertifikates unterband. So könnten Angreifer als Man-in-the-middle die Sicherheit von SSL/TLS-Verbindungen empfindlich beeinträchtigen. Die Entwickler stuften das Problem als kritisch ein und lassen das Update automatisch über die Browser installieren.

 

Sicherheitslücke in WP-Plugin VideoWhisper

Im WordPress-Plugin der Video-Konferenz-Lösung VideoWhisper existiert eine Sicherheitslücke, bei der es zu unautorisierter Codeausführung kommen kann. Betroffen ist das Uploadmodul, welches nur die letzten vier Zeichen einer Datei validiert, sodass Endungen wie phml, rhtml oder shtml ohne Prüfung hochgeladen und php-Code direkt ausgeführt werden kann. Betroffen sind die Versionen 3.31.1.7 und  4.91.8. Mittlerweile sind neue Versionen erscheinen, jedoch ohne eine Erwähnung des Problems in den Changelogs. Quelle: http://seclists.org/bugtraq/2015/Apr/27 und  http://seclists.org/bugtraq/2015/Apr/26

 

Schnelles zum Schluß:

Debian Linux Security Advisory 3214-1 – Path traversal vulnerability in Mailman entdeckt

 

Audit abgeschlossen: TrueCrypt 7.1 weitgehend sicher

 

Nuclear Exploit-Kit mit Google Ads ausgeliefert

 

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.

secu-ring

About secu-ring

Secu-ring ist Ihr Webdienstleister aus Berlin. Wir bieten Ihnen eine umfangreiche Servicepalette, um Ihre Idee erfolgreich im Internet umzusetzen: Konzeption und Planung, Webentwicklung, Serverbetreuung sowie Softwarewartung. Wir programmieren stabile und skalierbare Lösungen für Ihre Anforderungen und sorgen für einen problemlosen Betrieb. Konzentrieren Sie sich auf Ihr Geschäft, wir kümmern uns um den Rest.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.