[eMule-Web]  

Zurück   [eMule-Web] > eMule > eMule Allgemein

eMule Allgemein Alles zur originalen Version von eMule - Bitte FAQ beachten.

Antwort
 
LinkBack Themen-Optionen
Alt 18. August 2003, 11:58   #1
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800
Standard: Emule <=0.29c hat schwere Sicherheitslücken Problem: Emule <=0.29c hat schwere Sicherheitslücken



Die Sicherheitslücken wurden in der Version 0..30a behoben. Allerdings geht dies aus dem changlog dieser Version nicht direkt hervor.

Experten raten dringend auf die neue Version 0.30a zu upgraden! Zumal die Sicherheitslücken nun publik gemacht wurden und es wohl damit auch wahrscheinlicher wird, daß diese Sicherheitslücken auch bald ausgenutzt werden.

Links zum Thema:
http://www.heise.de/newsticker/data/dab-18.08.03-000/
http://lists.netsys.com/pipermail/fu...st/008449.html
__________________
Xman ist offline   Mit Zitat antworten
Alt 18. August 2003, 14:38   #2
Unregistrierter Gast
 
Registriert seit: 29.11.2002
Beiträge: 3.624

wieso komm ich bei dieser meldung nur auf den namen microsoft .... *denk*

Anonymous ist offline   Mit Zitat antworten
Alt 18. August 2003, 15:02   #3
Board Methusalem
 
Benutzerbild von Januar1956
 
Registriert seit: 08.06.2003
Beiträge: 2.096
Standard: Emule <=0.29c hat schwere Sicherheitslücken Emule <=0.29c hat schwere Sicherheitslücken Details

Ich ziehe,wenn ich mich richtig errinnere ab der Version 9xx und davor mit Edonkey... meine Sicherheitslage dürfte sowieso bescheiden sein.

Januar


Januar1956 ist offline   Mit Zitat antworten
Alt 18. August 2003, 15:42   #4
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800
Standard: Emule <=0.29c hat schwere Sicherheitslücken Lösung: Emule <=0.29c hat schwere Sicherheitslücken

Im übrigen noch die Info:
es schüzt euch keine Firewall, da der ganz normale emule-Traffic für einen Angriff mißbraucht werden kann. Eine Firewall müßte also diesen Traffic analysieren und auch wissen wie gefährlicher Code aussieht. Dies ist so gut wie unmöglich.

Nachdem gerade ziemlich viel Aufsehen gemacht wurde um das Sicherheitsrisiko sollte man aber dennoch bedenken, daß ein "böser Code" (um nicht das Wort Virus zu gebrauchen) nicht leicht zu programmieren ist und vielleicht auch nie programmiert wird. Insofern sollte man das Risiko nicht überbewerten.
__________________
Xman ist offline   Mit Zitat antworten
Alt 18. August 2003, 15:52   #5
Gesperrt
 
Benutzerbild von Odinasgardson
 
Registriert seit: 14.01.2003
Beiträge: 1.015
Standard: Emule <=0.29c hat schwere Sicherheitslücken Emule <=0.29c hat schwere Sicherheitslücken [gelöst]

Dadurch das es jetzt und hier breit und groß erklärt wird werden es dank dir noch schneller mehr Leute wissen.
Soviel dazu.
Das das jetzt nach über 4 Wochen erst rauskommt ist auch etwas seltsam warum nicht früher ?
Wo hatt Heise die Info her ist die von zb Ornis+ bestätigt oder ist das ein versuch der Software und Filmbranche den Esel lahmzulegen.(Falschmeldung) ?

Apropo Microsoft so wie es aussieht hat sich der Erbauer des Blaster/Lovesan Wurms/Virus ja wohl selber lächerlich gemacht.
Indem er Microsoft nachsagt (was nicht ganz unberechtigt ist)sie würden unsauber und schlecht proggen ,aber sein Prog selber voller Fehler steckte und im Endeefekt leicht auszutricksen war (Seite geändert).

mfg
Odinasgardson
Odinasgardson ist offline   Mit Zitat antworten
Alt 18. August 2003, 15:58   #6
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800

Odinasgardson,
mich wundert es schon auch, daß 4 Wochen nirgends etwas darüber zu lesen war und genau einen Tag nach Erscheinden der neuen Version steht die Meldung nun langsam in jedem EDV-New-Ticker.
Ein Trick um möglichst schnell alle User zum Umstieg zu bewegen ?
__________________
Xman ist offline   Mit Zitat antworten
Alt 18. August 2003, 16:01   #7
Senior Member
 
Registriert seit: 07.01.2003
Beiträge: 477

wundert mich auch und geht nur alle Boards wie ein Lauffeuer .... ich traue dem ganzen Nicht und warte darauf bis ich eine vernünftig , modifizierte der 30a finde .. von , Sivka , Morph usw.. erst DANN steige ich um !!!
__________________
cu .. de DQA321 .. nur ICH halt
DQA321 ist offline   Mit Zitat antworten
Alt 18. August 2003, 16:59   #8
Board Profi
 
Benutzerbild von Blacklotus
 
Registriert seit: 29.12.2002
Beiträge: 1.000

Zitat:
Zitat von Xman
es schüzt euch keine Firewall, da der ganz normale emule-Traffic für einen Angriff mißbraucht werden kann. Eine Firewall müßte also diesen Traffic analysieren und auch wissen wie gefährlicher Code aussieht. Dies ist so gut wie unmöglich.

Das ist so nicht ganz richtig


Wie diese schöne flash demo zeigt:
http://www.iss.net/blackice_demo/High/high.html
__________________
Never Underestimate the Power of Stupid People in Large Groups. (Blacksun Research)
Blacklotus ist offline   Mit Zitat antworten
Alt 18. August 2003, 17:31   #9
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800

Blacklotus,
hab mir das schöne demo mal ein wneig angeschaut, allerdings bin ich dabei nicht daraufgekommen warum meine Aussage falsch sein sollte !?

Egal welche Firewall... die emule-ports sind offen und emule kommuniziert mit anderen Clients/Server. Wie soll denn die Firewall entdecken, daß keine Nutzdaten übermittelt wurden sondern irgendetwas schädliches ?
__________________
Xman ist offline   Mit Zitat antworten
Alt 18. August 2003, 17:40   #10
Gesperrt
 
Benutzerbild von Odinasgardson
 
Registriert seit: 14.01.2003
Beiträge: 1.015

@ Xman, Hast wohl nicht aufgepasst "Intrusion Detection" nennt sich das und er erkennt auch getarnte Codes bzw in einer Datei versteckte Files.

Das hatt fast jede Firewall soweit ich weiß wobei ich mir aber nur 100 % bei Norton und jetzt auch bei Blackice sicher bin.Da ich eine andere noch nicht wirklich getestet hab.

mfg
Odinasgardson
Odinasgardson ist offline   Mit Zitat antworten
Alt 18. August 2003, 18:24   #11
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800

Odinasgardson,
ich gibs zu, daß ich nicht ganz aufgepaßt hab (schnell gesprochenes Englisch ist nich so unbedingt mein Ding). Ich kenn zwar Intrusion Detection, doch ehrlich gesagt weiß ich zu wenig Details darüber wie gut dies funktioniert.
Ich zweifel ein wenig über dessen 100% wirksamkeit

Im übrigen ist die Aussage, daß eine Firewall nichts bringt nicht auf meinem Mist gewachsen, sondern hab ich das in irgendeinem Bericht gelesen. (Link vergessen, sonst hät ichs gepostet)
__________________
Xman ist offline   Mit Zitat antworten
Alt 18. August 2003, 18:33   #12
Board Profi
 
Benutzerbild von Blacklotus
 
Registriert seit: 29.12.2002
Beiträge: 1.000

Zitat:
Zitat von Xman
Ich zweifel ein wenig über dessen 100% wirksamkeit
Richtig solange dem "Intrusion Detection System" die Attacke noch nicht bekannt ist wird es nichts dagegen unternehmen. Und wenn dieser S. Esser nichts über die 2 Sicherheitslücke sagt ist natürlich auch Klasse
__________________
Never Underestimate the Power of Stupid People in Large Groups. (Blacksun Research)
Blacklotus ist offline   Mit Zitat antworten
Alt 18. August 2003, 18:40   #13
Newbie
 
Registriert seit: 20.04.2003
Beiträge: 25

Ohoh.. ohne euch jetzt zu nahe treten zu wollen:

ID[S] (Intrusion Detection [System]) erkennt keine Files in Dateien oder getarnten bösen Code, Mit Intrusion Detetcion kann man anhand von Patterns (Mustern) im Netzwerkverkehr einen Eindringling oder einen Eindringversuch nachweisen.
Zum Beispiel läßt [Sun Jul 27 12:10:56 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/MSADC/root.exe
[Sun Jul 27 12:10:59 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/c/winnt/system32/cmd.exe
[Sun Jul 27 12:11:01 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/d/winnt/system32/cmd.exe
[Sun Jul 27 12:11:03 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jul 27 12:11:06 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jul 27 12:11:08 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
[Sun Jul 27 12:11:10 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/msadc/..%5c../..%5c../..%5c/..301^\../..301^\../..301^\../winnt/system32/c
[Sun Jul 27 12:11:13 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..301^\../winnt/system32/cmd.exe
[Sun Jul 27 12:11:18 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..300257../winnt/system32/cmd.exe
[Sun Jul 27 12:11:21 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..301234../winnt/system32/cmd.exe
[Sun Jul 27 12:11:27 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%5c../winnt/system32/cmd.exe
[Sun Jul 27 12:11:29 2003] [error] [client 217.238.103.72] File does not exist: /usr/local/httpd/htdocs/scripts/..%2f../winnt/system32/cmd.exe
[Sun Jul 27 15:08:00 2003]

Sowas (oder halt Fragmente daraus) auf nen aktiven Nimda Wurm schliessen (die gibt es immer noch!).

IDS erkennt solche (bekannten) Angriffsmuster und handelt dann nach Regeln--> Angreifer sperren oder Alarm schlagen o.ä.

Bekannte und kostenlose IDS: Snort

Warum die Sicherheitslücke erst jetzt an die Öffentlichkeit gekommen ist?
Weil es ein netter Analyst war!
Nee im ernst: es gehört zum guten 'Ton' dem Hersteller (in dem Fall Emule-Project) die Chance zu geben eine fehlerfreie/gepatchte Version rauszubringen und erst dann die Veröffentlichung über die Sicherheitslücke zu machen.

Schön auch an der History in dem Advisory zu sehen.

Noch ist es nicht so interessant, aber sobald der angekündigte Proof of Concept (Expolit) kommt, sollte jeder ne 30a Version haben, bevor die Scriptkiddies mehr Spielplatz haben als bei CodeRed und Blaster zusammen.
Wobei: 10 Millionen infizierte Zombies?? DIE WELT GEHÖRT MIR HARHAR!

Eine Firewall schützt nicht, die blockt nur Ports/Traffic. eine Stateful-inspection firewall könnte das, aber dann müßte auch das Emule-Protokoll eingepflegt sein und der fehlerhafte Funktionsaufruf/Parameterstring, der den Bug auslöst bekannt und als unzulässig erkannt sein. --> Wird es nicht geben.

So genug der Worte.

Flame me if you can - survive if i let you!

edit: solange in der 30a die 2 Sicherheitslücke gefixt ist und der nichts darüber sagt, weil der Angriff zu trivial ist bin ich da ganz glücklich drüber solang meine Statistik im Esel noch tausende von alten Versionen zeigt.
/dev/NULL ist offline   Mit Zitat antworten
Alt 18. August 2003, 18:54   #14
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800

Zitat:
Zitat von Blacklotus
Richtig solange dem "Intrusion Detection System" die Attacke noch nicht bekannt ist wird es nichts dagegen unternehmen.
Genau das meinte ich ja oben als ich schrieb:
Zitat:
Eine Firewall müßte also diesen Traffic analysieren und auch wissen wie gefährlicher Code aussieht. Dies ist so gut wie unmöglich.
Ok, hatte mich da vielleicht etwas zu laienhaft ausgedrückt.


/dev/NULL,
danke für Deine Ausfürhung. Ich denke das hat einiges zur Aufklärung beigetragen.

Über welche 2. Sicherheitslücke sprecht ihr eigentlich ? In den hier angegebenen Links spricht Esser von 4 Lücken die nun aber alle gestopft sind. 2 dieser Lücken können aber nur von einem emule-Server ausgenutzt werden, was unwahrscheinlich ist.
__________________
Xman ist offline   Mit Zitat antworten
Alt 18. August 2003, 19:10   #15
Newbie
 
Registriert seit: 20.04.2003
Beiträge: 25

Ich denke mit der 'Zweiten' Sicherheitslücke ist: AttachToAlreadyKnownObject gemeint, da der Autor da keine genaueren Angaben macht.

Auch denke ich man kann auch von nicht Servern die Pakete geschickt bekommen (spoofed IPs etc.) updaten sollte man also umgehend, da nur so die 4 nekannten Sicherheitslücken gefixt sind.
/dev/NULL ist offline   Mit Zitat antworten
Antwort

Lesezeichen

Themen-Optionen

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


Ähnliche Themen: Emule <=0.29c hat schwere Sicherheitslücken


  1. gnaddelwarz 1.3.2 / sicherheitslücken
    eMule MODs - Allgemein - 13. April 2004 (1)
  2. eMule 0.29c BlackRat
    Mülltonne - 31. January 2004 (4)
  3. eMule 0.29c [BlackRat] 0.2 [29.08.2003]
    eMule MODs - Allgemein - 10. November 2003 (27)
  4. eMule 29c O² (OxYGeN)
    eMule MODs - Allgemein - 14. September 2003 (2)
  5. Einstellungen zu emule 0.29c-ef-mod 0.5b
    eMule MODs - Allgemein - 9. September 2003 (14)
  6. eMule 0.29c [14.07.2003]
    eMule Allgemein - 18. August 2003 (19)
  7. eMule 0.29c X4 [10.08.2003]
    eMule MODs - Allgemein - 10. August 2003 (2)
  8. eMule 0.29c Khaos 15.0 [30.07.2003]
    eMule MODs - Allgemein - 31. July 2003 (24)
  9. eMule 0.29c X3 {31.07.03}
    eMule MODs - Allgemein - 31. July 2003 (0)
  10. eMule 0.29c [bloodymad 0.4.1] [22.07.2003]
    eMule MODs - Allgemein - 24. July 2003 (13)
  11. Einstellungen Emule v.0.29c-LSD10c???
    Mülltonne - 24. July 2003 (0)
  12. eMule 0.29c [Roman2K v0.44] [17.07.2003]
    eMule MODs - Allgemein - 16. July 2003 (1)


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:49 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.
PAGERANK