feed-image Feed-Einträge

Das Internet ist zu einem bedeutenden Bestandteil unseres Alltags geworden. Diese fünf Schritte helfen dabei, die Computersicherheit auf einem hohen Niveau zu halten.

In der Ausgabe 6/2010 wurde das Thema zentrale (Firmen-)Firewall näher beleuchtet. Aber nicht nur in einem Firmennetzwerk verhindert eine Firewall, dass Fremde auf den eigenen Rechner zugreifen können, auch Private müssen sich schützen.

In den letzten Wochen haben die Meldungen über Scareware stark zugenommen. Dabei wird versucht, dem Benutzer mit einer gefälschten Virenwarnung Angst zu machen und ihn zum Besuch einer Webseite oder zum Download einer Software zu bringen.

Der Serverraum stellt ein Schlüsselelement eines Netzwerkes dar. Darin werden die Server mit den oft sehr wichtigen und vertraulichen Daten untergebracht. Daher ist es wichtig, dass dieser auch optimal aufgebaut wird. 

Mobile Endgeräte sind aus dem heutigen Berufsleben nicht mehr wegzudenken. Vorallem Smartphones und Tablet PCs sind zu unverzichtbaren Arbeitsmitteln geworden. Das Telefonieren ist nicht mehr Hauptsache, sondern das Verwalten von Adressen und Terminen, Standard-Office-Anwendungen, Kommunikation über Email bis hin zu sicherheitskritischen Applikationen, beispielsweise für den Zugang zum Firmennetzwerk, Speicherung von Passwörtern, (Kunden-)Datenbanken, gehören zum Leistungsumfang aktueller Geräte.

*********************************************************

goSecurity - Advisory 2010120601

*********************************************************
Software: IceWarp Mail Server
Date: 06 Dec. 2010
Affected Versions: 10.1.3, 10.2.0
*********************************************************

Multiple directory-traversal vulnerabilities in IceWarp Webclient

*********************************************************
Summary
-----------
IceWarp Webclient is prone to multiple directory traversal
vulnerabilities. These vulnerabilities can result in loss
of confidential data of IceWarp Mailserver and the
operating system.

*********************************************************
Details
--------
Input passed via the following parameters is not properly
sanitised and can therefore be exploited to browse the
partition where IceWarp is installed or the whole system
and read arbitrary files on the system.

File: http[s]://host/webmail/basic/index.html
Parameter: _c

File: http[s]://host/webmail/basic/minimizer/index.php
Parameter: script

*********************************************************
Solution
---------
Upgrade to Version 10.2.1

*********************************************************
Credits
--------
Ron Ott - GO OUT Production GmbH
Mike Schneider - GO OUT Production GmbH
Thomas Wittmann - Wittmann Security Consulting

*********************************************************
Timeline (CET)
-----------------

19/11/10 Vulnerabilities discovered and confirmed with
multiple installations of IceWarp Webclient
10.1.3 and 10.2
22/11/10 First contact with vendor
23/11/10 Confirmed and fixed by vendor
29/11/10 Customer information by vendor
06/12/10 Coordinated release with vendor

*********************************************************

*********************************************************

goSecurity - Advisory 2010120602

*********************************************************
Software: IceWarp Mail Server
Date: 06 Dec. 2010
Affected Versions: 10.1.3 (partially), 10.2.0
*********************************************************

Multiple XSS vulnerabilities in IceWarp Webclient

*********************************************************
Summary
-----------
IceWarp Webclient is prone to multiple Cross-Site
Scripting (non-persistent and persistent) vulnerabilities.
All of them must be triggered by HTTP-POST requests.

*********************************************************
Details
--------
Input passed via the following parameters is not properly
sanitised before being returned to the user. This can be
exploited to execute arbitrary HTML and script code in a
user´s browser session in context of an affected site.

File: http[s]://host/admin/login.html
Parameter: username
Type: persistent XSS
Version: 10.2.0

File: http[s]://host/webmail/basic/
Parameter: _dlg[captcha][controller]
Type: non-persistent XSS
Version: 10.1.3, 10.2.0 (possibly all 10.x versions <=10.2.0)

File: http[s]://host/webmail/basic/
Parameter: _dlg[captcha][action]
Type: non-persistent XSS
Version: 10.1.3, 10.2.0 (possibly all 10.x versions <=10.2.0)

File: http[s]://host/webmail/basic/
Parameter: _dlg[captcha][uid]
Type: non-persistent XSS
Version: 10.1.3, 10.2.0 (possibly all 10.x versions <=10.2.0)

File: http[s]://host/webmail/
Parameter: password
Type: non-persistent XSS
Version: 10.2.0

*********************************************************
Solution
---------
Upgrade to Version 10.2.1

*********************************************************
Credits
--------
Ron Ott - GO OUT Production GmbH
Mike Schneider - GO OUT Production GmbH
Thomas Wittmann - Wittmann Security Consulting

*********************************************************
Timeline (CET)
-----------------

18/11/10 Vulnerabilities discovered and confirmed with
multiple installations of IceWarp Webclient
10.1.3 and 10.2
19/11/10 First contact with vendor
23/11/10 Confirmed by vendor
24/11/10 Fixed by vendor
29/11/10 Customer information by vendor
06/12/10 Coordinated release with vendor

*********************************************************

IT-Sicherheit muss ganzheitlich gelöst und durchgängig in alle Prozesse integriert werden. Ganz besonders, seit immer mehr Menschen von überall her und rund um die Uhr auf ein Firmennetzwerk zugreifen und immer mehr Firmen über das Internet sensitive Informationen austauschen oder Web-Applikationen einsetzen. Was unsere Arbeit beschleunigt und die Zusammenarbeit einfacher macht, stellt hohe Ansprüche an die IT-Sicherheit. Fünf Sicherheitsfachleute erklärten am 8. IT-Security Forum in Winterthur, wie Daten, Netzwerke und Applikationen effizient und effektiv geschützt werden.

In der Informatik ist eine grosse Vielfalt von Notfällen möglich. Je nach betroffenem Bereich ist man mit tragbaren oder mit kritischen Auswirkungen konfrontiert. Zu unterscheiden gilt es, welcher Notfall tatsächlich den Lebensnerv einer Unternehmung trifft. 

Der Begriff «Cloud Computing» (frei übersetzt: Rechnen in der Wolke) ist zu einem richtigen Hype geworden. Praktisch jeder spricht darüber, alle Zeitschriften berichten darüber. Dieser Artikel geht nicht auf die Cloud ein, sondern soll einige Facetten der IT-Sicherheit zeigen, die es zu beachten gibt.