"Autor" |
-W32.Blaster attackiert auch NichtWindowsSysteme |
|
geschrieben am: 15.08.2003 um 20:33 Uhr
|
|
In einer Vulnerability Note weist CERT/CC darauf hin, dass beliebige andere Betriebssystem-Plattformen ebenfalls vom Wurm W32.Blaster über Port 135 angegriffen werden können. Dazu muss allerdings das plattform-spezifische Distributed Computing Environment (DCE) auf Basis der Entwicklungen der Open Software Foundation (OSF) installiert sein. DCE ermöglicht es verschiedenen Systemen, untereinander zu kommunizieren, und verwendet dazu auch RPCs über Port 135. Insbesondere in heterogenen Umgebungen mit einer Vielzahl verschiedener Betriebssysteme wird DCE zur Verwaltung der Ressourcen und zum Zugriff auf sie eingesetzt.
Eine Schwachstelle in der Implementierung einiger Hersteller ermöglicht eine Denial-of-Service-Attacke gegen den DCE-Dienst. Da W32.Blaster nicht erkennen kann, welche Plattform er attackiert, werden alle Systeme mit offenem Port 135 angegriffen. In der Folge kann der DCE-Dienst zum Absturz gebracht werden, der nicht mehr auf Anfragen von Clients antwortet. Bestätigt haben diese Schwachstelle bisher IBM für die DCE-Implementierung unter AIX, Solaris und Windows sowie Entegrity für die DCE-Software unter Linux und Tru64. Beide Hersteller haben Patches sowie Anweisungen zum Beseitigen der Sicherheitslücke zur Verfügung gestellt. Crays Unicos ist ebenfalls als verwundbar bestätigt, an einem Patch wird noch gearbeitet. Die anderen Hersteller sind informiert, haben bisher aber noch keine Stellungnahme abgegeben.
|
Dove non c'e amore e perdono la strada diventa chiusa
Registriert seit: 26.10.2000
|
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 15.08.2003 um 21:52 Uhr
|
|
[i][schwarz]Wie gut, dass der Port 135 bei mir schon geschlossen ist |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 17.08.2003 um 20:59 Uhr
|
|
guckst du:
Link
neben port 135 wären da noch:
UDP und TCP: Ports 139, 445
UDP: Port 69
TCP: Ports 593, 4444
(siehe link zu heise) Geändert am 17.08.2003 um 21:02 Uhr von venus999 |
|
|
|
|
Top
|
"Autor" |
|
|
geschrieben am: 17.08.2003 um 22:14 Uhr
|
|
[i][schwarz]bis auf 2 waren die auch schon alle gesperrt... verbreiten tut er sich aber [b]überwiegend[/b] über den Port 135 (über ihn nutzt er die Schwachstelle aus)
Link
... Geändert am 17.08.2003 um 22:18 Uhr von Romualdo Geändert am 18.08.2003 um 01:11 Uhr von Romualdo |
|
|
|
|
Top
|