![[eMule-Web]](images/satellite/header/logo.jpg){kind=logo}
|
Emule <=0.29c hat schwere Sicherheitslücken Die Sicherheitslücken wurden in der Version 0..30a behoben. Allerdings geht dies aus dem changlog dieser Version nicht direkt hervor. Experten raten dringend auf die neue Version 0.30a zu upgraden! Zumal die Sicherheitslücken nun publik gemacht wurden und es wohl damit auch wahrscheinlicher wird, daß diese Sicherheitslücken auch bald ausgenutzt werden. Links zum Thema: http://www.heise.de/newsticker/data/dab-18.08.03-000/ http://lists.netsys.com/pipermail/fu...st/008449.html |
wieso komm ich bei dieser meldung nur auf den namen microsoft .... *denk* :?: :shock: |
Ich ziehe,wenn ich mich richtig errinnere ab der Version 9xx und davor mit Edonkey... meine Sicherheitslage dürfte sowieso bescheiden sein. :mrgreen: :mrgreen: :mrgreen: Januar :D |
Im übrigen noch die Info: es schüzt euch keine Firewall, da der ganz normale emule-Traffic für einen Angriff mißbraucht werden kann. Eine Firewall müßte also diesen Traffic analysieren und auch wissen wie gefährlicher Code aussieht. Dies ist so gut wie unmöglich. Nachdem gerade ziemlich viel Aufsehen gemacht wurde um das Sicherheitsrisiko sollte man aber dennoch bedenken, daß ein "böser Code" (um nicht das Wort Virus zu gebrauchen) nicht leicht zu programmieren ist und vielleicht auch nie programmiert wird. Insofern sollte man das Risiko nicht überbewerten. |
Dadurch das es jetzt und hier breit und groß erklärt wird werden es dank dir noch schneller mehr Leute wissen. Soviel dazu. Das das jetzt nach über 4 Wochen erst rauskommt ist auch etwas seltsam warum nicht früher ? Wo hatt Heise die Info her ist die von zb Ornis+ bestätigt oder ist das ein versuch der Software und Filmbranche den Esel lahmzulegen.(Falschmeldung) ? Apropo Microsoft so wie es aussieht hat sich der Erbauer des Blaster/Lovesan Wurms/Virus ja wohl selber lächerlich gemacht. Indem er Microsoft nachsagt (was nicht ganz unberechtigt ist)sie würden unsauber und schlecht proggen ,aber sein Prog selber voller Fehler steckte und im Endeefekt leicht auszutricksen war (Seite geändert). mfg Odinasgardson |
Odinasgardson, mich wundert es schon auch, daß 4 Wochen nirgends etwas darüber zu lesen war und genau einen Tag nach Erscheinden der neuen Version steht die Meldung nun langsam in jedem EDV-New-Ticker. Ein Trick um möglichst schnell alle User zum Umstieg zu bewegen ? :?: |
wundert mich auch und geht nur alle Boards wie ein Lauffeuer .... ich traue dem ganzen Nicht und warte darauf bis ich eine vernünftig , modifizierte der 30a finde .. von , Sivka , Morph usw.. erst DANN steige ich um !!! |
Zitat:
Das ist so nicht ganz richtig :) Wie diese schöne flash demo zeigt: http://www.iss.net/blackice_demo/High/high.html |
Blacklotus, hab mir das schöne demo mal ein wneig angeschaut, allerdings bin ich dabei nicht daraufgekommen warum meine Aussage falsch sein sollte !? Egal welche Firewall... die emule-ports sind offen und emule kommuniziert mit anderen Clients/Server. Wie soll denn die Firewall entdecken, daß keine Nutzdaten übermittelt wurden sondern irgendetwas schädliches ? |
@ Xman, Hast wohl nicht aufgepasst :wink: "Intrusion Detection" nennt sich das und er erkennt auch getarnte Codes bzw in einer Datei versteckte Files. Das hatt fast jede Firewall soweit ich weiß wobei ich mir aber nur 100 % bei Norton und jetzt auch bei Blackice sicher bin.Da ich eine andere noch nicht wirklich getestet hab. mfg Odinasgardson |
Odinasgardson, ich gibs zu, daß ich nicht ganz aufgepaßt hab (schnell gesprochenes Englisch ist nich so unbedingt mein Ding). Ich kenn zwar Intrusion Detection, doch ehrlich gesagt weiß ich zu wenig Details darüber wie gut dies funktioniert. Ich zweifel ein wenig über dessen 100% wirksamkeit ;-) Im übrigen ist die Aussage, daß eine Firewall nichts bringt nicht auf meinem Mist gewachsen, sondern hab ich das in irgendeinem Bericht gelesen. (Link vergessen, sonst hät ichs gepostet) |
Zitat:
|
Ohoh.. ohne euch jetzt zu nahe treten zu wollen: ID[S] (Intrusion Detection [System]) erkennt keine Files in Dateien oder getarnten bösen Code, Mit Intrusion Detetcion kann man anhand von Patterns (Mustern) im Netzwerkverkehr einen Eindringling oder einen Eindringversuch nachweisen. Zum Beispiel läßt [Sun Jul 27 12:10:56 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe [Sun Jul 27 12:10:59 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe [Sun Jul 27 12:11:01 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.exe [Sun Jul 27 12:11:03 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe [Sun Jul 27 12:11:06 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Sun Jul 27 12:11:08 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe [Sun Jul 27 12:11:10 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/msadc/..%5c../..%5c../..%5c/..301^\../..301^\../..301^\../winnt/system32/c [Sun Jul 27 12:11:13 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..301^\../winnt/system32/cmd.exe [Sun Jul 27 12:11:18 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..300257../winnt/system32/cmd.exe [Sun Jul 27 12:11:21 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..301234../winnt/system32/cmd.exe [Sun Jul 27 12:11:27 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe [Sun Jul 27 12:11:29 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%2f../winnt/system32/cmd.exe [Sun Jul 27 15:08:00 2003] Sowas (oder halt Fragmente daraus) auf nen aktiven Nimda Wurm schliessen (die gibt es immer noch!). IDS erkennt solche (bekannten) Angriffsmuster und handelt dann nach Regeln--> Angreifer sperren oder Alarm schlagen o.ä. Bekannte und kostenlose IDS: Snort Warum die Sicherheitslücke erst jetzt an die Öffentlichkeit gekommen ist? Weil es ein netter Analyst war! Nee im ernst: es gehört zum guten 'Ton' dem Hersteller (in dem Fall Emule-Project) die Chance zu geben eine fehlerfreie/gepatchte Version rauszubringen und erst dann die Veröffentlichung über die Sicherheitslücke zu machen. Schön auch an der History in dem Advisory zu sehen. Noch ist es nicht so interessant, aber sobald der angekündigte Proof of Concept (Expolit) kommt, sollte jeder ne 30a Version haben, bevor die Scriptkiddies mehr Spielplatz haben als bei CodeRed und Blaster zusammen. Wobei: 10 Millionen infizierte Zombies?? DIE WELT GEHÖRT MIR HARHAR! Eine Firewall schützt nicht, die blockt nur Ports/Traffic. eine Stateful-inspection firewall könnte das, aber dann müßte auch das Emule-Protokoll eingepflegt sein und der fehlerhafte Funktionsaufruf/Parameterstring, der den Bug auslöst bekannt und als unzulässig erkannt sein. --> Wird es nicht geben. So genug der Worte. Flame me if you can - survive if i let you! edit: solange in der 30a die 2 Sicherheitslücke gefixt ist und der nichts darüber sagt, weil der Angriff zu trivial ist bin ich da ganz glücklich drüber solang meine Statistik im Esel noch tausende von alten Versionen zeigt. |
Zitat:
Zitat:
/dev/NULL, danke für Deine Ausfürhung. Ich denke das hat einiges zur Aufklärung beigetragen. Über welche 2. Sicherheitslücke sprecht ihr eigentlich ? In den hier angegebenen Links spricht Esser von 4 Lücken die nun aber alle gestopft sind. 2 dieser Lücken können aber nur von einem emule-Server ausgenutzt werden, was unwahrscheinlich ist. |
Ich denke mit der 'Zweiten' Sicherheitslücke ist: AttachToAlreadyKnownObject gemeint, da der Autor da keine genaueren Angaben macht. Auch denke ich man kann auch von nicht Servern die Pakete geschickt bekommen (spoofed IPs etc.) updaten sollte man also umgehend, da nur so die 4 nekannten Sicherheitslücken gefixt sind. |
Zitat:
@/dev/NULL: kleine Frage am Rande kommt dein Name von der netcat Binary Zero Attacke ? :) |
Stimmt.. hat der Autor des Advisorys auch gesagt, das es nur als Crash-Bug ausgeschrieben wurde.. man hätte da ein bissel mehr TamTam drum machen können.. Wir werden sehen wo das endet .. die Riaa freut sich *g* Mein Name ist schall und Rauch ;) Na unter Unix gibt es doch das NULL device, den 'Papierkorb'.. aber wie kommt man zu Namen? Man nimmt sich was einem gefällt *g* |
es ist schon wirklich so, daß aus dem changelog eigentlich gar nichts über die Wichtigkeit der Fixes hervorgeht. Im offiziellen Forum wird darüber auch schon heftig gemeckert ;-) |
zumindest steht auf der downloadseite der hinweis! cyrex2001 |
Was mich an der ganzen sache wundert iss folgendes es geht ja soweit ich verstanden hab um alle emule versionen ab 29c abwärts!Nun gibt es soviele modder und leute die sich wirklich sehr gut mit der materie auskennen!Das hätte doch schon jemanden auffallen müssen?Und jetzt soll auf einmal alles auf 30a wechsel das erregt schon ein wenig mein misstrauen!Vielleicht können ja mal eine paar von den moddern ein statement dazu abgeben!Ich mein bis 29c gabs sehr viele emule versionen und ich hab noch nie gehört das einer über diese sicherheitslücke (angegriffen wurde)! |
Mulio, an diesen Aspekt hab ich auch schon gedacht. Bisher hat sich auch noch kein Modder zur Sicherheitslücke in irgend einem Forum geäußert. Möglicherweise ist die Gefahr halt doch viel geringer als nun suggeriert wird. |
Sicherheitslücken sind ja auch solange unsicher bis sich jemand damit auseinandersetzt: Nur weil sie niemandem aufgefallen ist, gab es keine Probleme. Jetzt hat man ein paar (von sicherlicher noch mehr) Lücken gefunden und publik gemacht, folglich wissen auch Angreifer, das es möglichkeiten gibt und wo man schauen muß. Jetzt kann man sagen: warum veröffentlicht man dann Sicherheitslücken? Berechtigte Frage, aber was passiert, wenn man es nicht macht? Kein User macht updates, kein Hersteller/Programmierer kümmert sich drum und es passiert nichts.. macht ja nichts, bis irgendwann mal ein Angreifer :twisted: die Lücke findet und gnadenlos ausnutzt. Sicherheitslücken verhindern kann mann nicht/kaum, die Programmierer sind Menschen und die machen nunmal Fehler. Eine Möglichkeit die Zahl solcher Lücken zu reduzieren, wären Regelmäßige und aktuelle Codereviews, wo sich Leute nur Gedanken drüber machen, ob der Code korrekt geschrieben ist, ob man irgendwo einen Bufferüberlauf durch zu lange Parameter oder DoubleFrees hat oder man Arguemente ungeprüft weitergibt.. --> aufwendig und auch nicht endgültig sicher. Die Vorgehensweise war schon ok: es ist ne Lücke gefunden worden und der Hersteller kontaktiert worden, nachdem der Hersteller die Lücke gefixt hat ist das Advisory rausgekommen.. ich fühle mich so besser als wenn ich nicht weiß was da draussen lauert. ;-) Zu den Überlegungen: FALSCH. Es ist niemand angegriffen, weil keiner wußte das eine Angriffsmöglichkeit existiert, Scriptkiddies sind doof, den meisten muß man den Quellcode liefern, damit sie was machen können ;) Schau Dir die Sicherheitslücke an, die den Blaster Virus ermöglicht hat: es sind alle Windowsversionen seit NT betroffen und es hat niemand gemerkt. Der Patch ist seit Anfang(Ende?) Juni draussen und trotzdem sind viele 100000 Rechner befallen worden. Ich denke uns steht sobald der erste Angriffscode (Exploit) draussen ist noch was nettes bevor, grad wenn meine Statistik sagt nur 18% nutzen die 30a.. UPGRADED! |
hmm, also des mit dieser sicherheitslücke ist echt brandgefährlich, habs an eigenem leib gespührt emule 29c angeworfen, 5 stunden net am rechna, als ich wiederkam hat mich jemand gehackt und mein ganzes system unter kontrolle gehabt! er hat alle user gelöscht und einen neuen gemacht namens emule_sucks und hat dann des hintergrundbild in einen totenkopf geändert und 3000 mp3s und 15 filme und nochn paar andre daten gelöscht. najo, des einzige was ich machen konnte: windoof neuinstallieren. also unbedingt auf die 30er version updaten, sonst könnts euch unnötig nerven kosten! |
blue, bist Du Dir sicher, daß dies nicht ein herkömmlicher Trojaner war ? Deine Meldung ist die erste dieser Art |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:40 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.