Für die IT Freaks ...

[DirtyHarry]

So,

hier die Liste der aufgetreten Bugs/Sicherheitslücken in EINER Woche ! Und jetzt könnt ihr mal nachzählen, welche Firma wie oft vertreten ist ... Alles ziemlich gleichmäßig verteilt ...

Und was lernen wir aus der Geschichte ? Glaube keinem Medienhype und plappere die Thesen der Medienpappnasen nicht ungeprüft nach ...

***

1. IBM DB2 Discovery Service UDP Denial Of Service Vulnerabilit...

2. LSH Remote Buffer Overflow Vulnerability

3. Debian hztty Multiple Buffer Overflow Vulnerabilities

4. Knox Arkeia Remote Stack Corruption Vulnerability

5. Midnight Commander Virtual File System Symlink Buffer Overfl...

6. Flying Dog Powerslave Portalmanager sql_id Information Discl...

7. ColdFusionMX Error Handler Pages Cross-Site Scripting Vulner...

8. Microsoft BizTalk Server Documentation/WebDAV Weak Permissio...

9. SepCity Community Wizard login.asp SQL Injection Vulnerabili...

10. myPHPNuke auth.inc.php SQL Injection Vulnerability

11. ipmasq Incorrect Packet Forwarding Default Ruleset Vulnerabi...

12. Imatix Xitami Long Header Denial Of Service Vulnerability

13. Sun Java XML Document Nested Entity Denial Of Service Vulner...

14. Multiple Plug And Play Web Server FTP Service Command Handle...

15. Wu-Ftpd SockPrintf() Remote Stack-based Buffer Overrun Vulne...

16. Speak Freely Show Your Face Malformed Gif Denial Of Service ...

17. Speak Freely Spoofed UDP Packet Flood Remote Denial Of Servi...

18. NetUP UTM Web Interface Session ID SQL Injection Vulnerabili...

19. NetUP UTM Web Interface utm_stat Script SQL Injection Vulner...

20. NetUp UTM Web Interface Local Privilege Escalation Vulnerabi...

21. Man Utility Local Compression Program Privilege Elevation Vu...

22. Multiple Vendor VPN Implementation Vulnerabilities

23. Multiple Portable OpenSSH PAM Vulnerabilities

24. wzdftpd Login Remote Denial of Service Vulnerability

25. ProFTPD ASCII File Transfer Buffer Overrun Vulnerability

26. MPG123 Remote File Play Heap Corruption Vulnerability

27. Ingate Firewall/SIParator Packet Filter Rule Bypass Vulnerab...

28. XFree86 XLOCALEDIR Buffer Overflow Variant Vulnerability

29. Gauntlet Firewall SQL-GW Connection Denial Of Service Vulner...

30. Mondosoft MondoSearch MsmSetup.exe ASP Code Injection Vulner...

31. Sun StorEdge T3 Security Scan Master Controller Failure Vuln...

32. TCLhttpd Directory Listing Disclosure Vulnerability

33. TCLHttpd Multiple Cross-Site Scripting Vulnerabilities

34. BSD Kernel ARP Cache Flooding Denial of Service Vulnerabilit...

35. BRS WebWeaver Long URL Request Logging Failure Weakness

36. Comment Board HTML Injection Vulnerabilities

37. yMonda Thread-IT Multiple Fields HTML Injection Vulnerabilit...

38. Re-Boot Design ASP Forum SQL Injection Vulnerability

39. NullLogic Null HTTPd Error Page Long HTTP Request Cross-Site...

40. NullLogic Null HTTPd Remote Denial Of Service Vulnerability

41. Thread-ITSQL HTML Injection Vulnerabilities

42. CFEngine CFServD Transaction Packet Buffer Overrun Vulnerabi...

43. Software602 602Pro LAN SUITE 2003 Sensitive User Information...

44. Software602 602Pro LAN SUITE 2003 Directory Traversal Vulner...

45. MPlayer Streaming ASX Header Parsing Buffer Overrun Vulnerab...

46. WodFTPServer FTP Command Buffer Overflow Vulnerability

47. ArGoSoft FTP Server XCWD Command Remote Buffer Overrun Vulne...

48. SBox Path Disclosure Vulnerability

49. Software602 602Pro LAN SUITE 2003 Multiple Remote Vulnerabil...

50. Apache htpasswd Password Entropy Weakness

51. myServer File Disclosure Variant Vulnerability

52. Athttpd Remote GET Request Buffer Overrun Vulnerability

***

[DirtyHarry]

So, das gibts noch gratis dazu:

http://www.heise.de/newsticker/data/bo-04.10.03-003/

Auszug:

Elektrolytkondensatoren, kurz Elkos, sind Standardbauteile, die in den Netzteilen und Spannungswandlern eines jeden PC stecken. Wenn der Hersteller hier spart oder der Anwender sie durch Übertakten oder ungenügende Kühlung übermäßig strapaziert, können die verschiedensten Symptome die Folge sein: Unerklärliche Systemabstürze, Schreib-/Lesefehler bei der Festplatte oder optischen Medien, Probleme mit der Grafikkarte. Die Ursache ist oft schwer zu finden -- wer würde etwa ein stark verzerrtes Bild auf dem Monitor auf Anhieb mit einem Kondensator irgendwo auf dem PC-Mainboard in Verbindung bringen?

[Henry]

@DH

mit dem Kondensator, dass kann ich ja evtl. noch nachvollziehen, aber die IT-Problematik der Sicherheit sind böhmische Dörfer für mich als Nutzer

[clifford]

So, das gibts noch gratis dazu:

http://www.heise.de/newsticker/data/bo-04.10.03-003/

Auszug:

Elektrolytkondensatoren, kurz Elkos, sind Standardbauteile, die in den Netzteilen und Spannungswandlern eines jeden PC stecken. Wenn der Hersteller hier spart oder der Anwender sie durch Übertakten oder ungenügende Kühlung übermäßig strapaziert, können die verschiedensten Symptome die Folge sein: Unerklärliche Systemabstürze, Schreib-/Lesefehler bei der Festplatte oder optischen Medien, Probleme mit der Grafikkarte. Die Ursache ist oft schwer zu finden -- wer würde etwa ein stark verzerrtes Bild auf dem Monitor auf Anhieb mit einem Kondensator irgendwo auf dem PC-Mainboard in Verbindung bringen?

ach so, es liegt gar nicht an microsoft! na denn...

[DirtyHarry]

So hier die Liste für die letzte Woche. Unten allen Unkenrufen zum trotz ist keine Firma - auch nicht Microsoft da überepräsentiert.

1. marbles Local Home Environment Variable Buffer Overflow Vuln...

2. SMC Router Random UDP Packet Denial Of Service Vulnerability

3. Savant Web Server Page Redirect Denial Of Service Vulnerabil...

4. Sun One Application Server LDAP Incorrect Authentication Vul...

5. Line9 Tek9 Shopping Cart SQL Injection Vulnerability

6. Novell NetWare Broker Information Disclosure Vulnerability

7. freesweep Environment Variable Handling Buffer Overflow Vuln...

8. GuppY HTML Injection Vulnerability

9. Multiple Geeklog Vulnerabilities

10. OmniCom winShadow Server Login Denial of Service Vulnerabili...

11. OmniCom winShadow hostname Buffer Overflow Vulnerability

12. Megacomputing Personal-WebServer Professional Remote Directo...

13. A-Cart MSG Cross-Site Scripting Vulnerability

14. Megacomputing Personal-WebServer Professional Denial Of Serv...

15. Webfs HTTP Server Information Disclosure Vulnerability

16. Apache2 MOD_CGI STDERR Denial Of Service Vulnerability

17. WebFS Long Pathname Buffer Overrun Vulnerability

18. Sun Solaris Serial Console Excessive Output Data Denial of S...

19. mIRC USERHOST Buffer Overflow Vulnerability

20. Mah-Jong MJ-Player Server Flag Local Buffer Overflow Vulnera...

21. Half-Life Invalid Command Error Response Format String Vulne...

22. Sun SAM-FS File System Deadlock Denial of Service Vulnerabil...

23. OpenSSL ASN.1 Parsing Vulnerabilities

24. Gamespy 3d IRC Client Remote Buffer Overflow Vulnerability

25. HP Unspecified Local Socket Implementation Denial of Service...

26. Silly Poker Local HOME Environment Variable Buffer Overrun V...

27. Invision Power Board Insecure Permissions Vulnerability

28. IBM AIX GetIPNodeByName API Socket Management Vulnerability

29. Multiple DCP-Portal SQL Injection Vulnerabilities

30. Atrise Everyfind search Cross-Site Scripting Vulnerability

31. IBM DB2 Remote LOAD Command Buffer Overrun Vulnerability

32. IBM DB2 Invoke Stored Procedure Buffer Overflow Vulnerabilit...

33. MPNews PRO Directory Traversal Information Disclosure Vulner...

34. Mutant Penguin MPWeb PRO Directory Traversal Vulnerability

35. OpenSSL SSLv2 Client_Master_Key Remote Denial Of Service Vul...

36. Microsoft Windows PostThreadMessage() Arbitrary Process Kill...

37. FreeBSD Kernel ProcFS Handler UIO_Offset Integer Overflow Vu...

38. FreeBSD Kernel Readv() Integer Overflow Vulnerability

39. FortiGate Firewall Web Filter Logs HTML Injection Vulnerabil...

40. Inter7 VPopMail Configuration File Insecure Default Permissi...

[DirtyHarry]

Wer hat mehr geschrien ? Na gut:

Hier ALLEIN DIE SICHERHEITSLÜCKEN VON SUSE LINUX 8.3 (bei älteren Version kumuliert sich das natürlich noch alles zusammen) von 24 März bis 30. September:

http://www.suse.de/de/private/download/updates/82_i386.html

Das sind mehr wie man hier posten kann ... Und jetzt vergleicht das mal mit diversen MS Produkten - über den Daumen gepeilt steht MS sicher nicht schlechter, wahrscheinlich sogar eher besser da.

[Old_Surehand]

So ein Blödsinn. Die Anzahl der veröffentlichten Security Updates ist ein völlig ungeeignetes Maß für die Sicherheit oder Unsicherheit einer Software. Zumindest ist dabei noch die Offenheit, mit der der Hersteller mit Sicherheitslücken umgeht, einzubeziehen, aber auch die Schwere der Sicherheitslücken.

Wenn man mal die entstandenen Kosten durch unsichere Software miteinander vergleicht, dürften die drei großen Wurmattacken dieses Sommers, die ausschließlich Sicherheitslücken in Windows ausgenutzt haben, wohl alles andere locker in den Schatten stellen.

Hinzu kommt, daß Microsoft gleich eine ganze Reihe von Technologien verwendet, die kein ausreichendes Sicherheitskonzept haben, wie etwa die unzureichende Multiuserfähigkeit von Windows, ActiveX etc. Eine ganze Branche lebt davon, mithilfe von extra zu bezahlender Software die wichtigsten Sicherheitsprobleme von Windows zu beheben.

Und sämtliche Lösungen, die Microsoft für dieses grundsätzliche Problem vorschlägt, sei es trusted computing oder die entsprechenden Komponenten von .NET scheinen mir alle eher dazu designed, um Microsofts Marktmacht zu erhalten und auszubauen als dazu, die Bedürfnisse der Benutzer zu befriedigen.

Aber das wurde alles schon so oft anderswo durchgekaut....

Gruß,

O_S

[DirtyHarry]

@OldShurehand

Die Anzahl der veröffentlichten Sicherheitslücken ist durchaus ein Indikator. Wobei bei einem Massensystem immer mehr Sicherheitslücken veröffentlicht werden - was aber nicht heisst, dass ein weniger bekanntes System nicht ebenfalls viele hat, die aber noch keiner gefunden hat ...

Von der Schwere der Sicherheitslücken würde ich im Falle von MS und Linux dazu tendieren, die Mehrzahl der Sicherheitslücken auf der "Serverseite" bei Linux schwerer einzuschätzen. Bei der Anwenderseite genau umgekehrt rum. Wobei Linux hier den Vorteil hat, dass es selten im Privatbereich als Anwendersystem eingesetzt wird, was es für Hacker momentan weniger interessant macht (im "Anwendungsteil" von OS und Applikationen).

Das mit den Wurmattakcken ist folgendermaßen zu bewerten:

Für sämtliche der ausgenutzten Sicherheitslücken gab es bereits sei Monaten Sicherheitsupdates durch MS - die aber weder Homeuser noch Hobbyadministratoren in Firmen und Behörden eingespielt haben. Sämtliche Wurmattacken wären durch primitivste Firewallarchitekturen abgehalten worden. Die Verbreitung im Homebereich mit Usern die Sicherheit überhaupt nicht interessiert hat das natürlich gefördert - das wäre aber auch nicht anderes wenn die User ein anderes OS benutzen würden - mit genau den selben Konsequenzen ...

Es gab zwei wesentlich schwerere Sicherheitslücken bei Cisco Routern und in dem SSH Subsystem von sämlichen Unix Clones. Doch die Cisco Administratoren haben massenweise in kurzer Zeit den "Patch" eingespielt so daß dass Hackern nur noch wenige verwundbare Systeme übrig blieben - andernfalls hätte für das gesamte Internet grosse Gefahr bestanden. Der SSH Bug in Linux führt dazu, daß nach und nach viele dieser Systeme von Hackern übernommen werden. Aber von Profis die das still und heimlich machen und den Betrieb dieser Systeme nicht beeinträchtigen und die Systeme so nebenbei für Zwecke benutzen. Habe mich letztes Weihnachten mit einem gehackten Linuxsystem rumgeschlagen. Als ich die Karten auf dem System etwas zu meinen Gunsten mischelte haben sich die Hacker ganz schnell zurückgezogen, sie wollten ja nicht erwischt werden ...

Vom Sicherheiterskonzept im Systemteil kann MS mit NT/W2K/XP sämtlich Unixderivaten gehörig vor den Sack treten. Das ist da wesentlich ausgereifter als bei denen. Ist ja auch kein Kunststück - Während bei Unixsystemen (bei den ersten Version wurde davon ausgegangen dass die System in abgeschlossen Büros vertrauenswürdiger Personen stehen) vor Unzeiten Security dazugemurkst wurde war es bei der NT Konzipierung von vorne rein mitbedacht. ActiveX rechne ich zum Anwendungsteil - das ist tatsächlich nicht so besonders toll gelöst wenn man es etwa mit Java vergleicht.

[DirtyHarry]

Extra noch für Clifford:

http://docs.info.apple.com/article.html?artnum=61798

PS: Wo sind eigentlich Viper & Co die sich in der letzten IT Sicherheitsdebatte so von mir untergebuttert fühlten ? Jetzt lege ich mal Fakten auf den Tisch und die sagen nichts dazu ....

[g1zmo]

Ein australischer Wäschehersteller hat jetzt das männliche Gegenstück zum Mogel-BH "Wonderbra" auf den Markt gebracht: Die "Wondercup"-Slips sind so geschnitten, dass sie den Inhalt größer erscheinen lassen. "Kurz gesagt heben, teilen und vergrößern sie" brachte Sean Ashby von der Firma aussieBum das Geheimnis der neuen Unterhosen auf den Punkt. Die Wunder-Slips enthalten einen "Wondercup", eine Art Tasche für des Mannes bestes Stück, die den Inhalt "teilen und das Abquetschen vermeiden" soll.

Laut Ashby stößt das neue Modell vor allem in den USA und Europa auf großes Interesse. Beworben werden die Slips mit dem Slogan, sie ließen den Inhalt "beträchtlich größer wirken" und vermittelten dem Träger ein großartiges Gefühl.

[Guest]

Und was machst dann wenns zur Sache geht, da fliegt der beschieß ja sowieso auf, wäre mir zu peinlich. :fool:

[karaya]

30 cm vorgeben und dann mit lausigen 12 cm Angeben. Typisch Männerwelt

[ZeroM]

Wer hat den mit den Bescheißen angefangen, denke doch es war die Frauenwelt. Pamela Anderson vorgeben und dann nur Julia Roberts in den Fingern, obwohl ich die auch nicht verachten würde.

[Guest]

Endlich mal der selben Meinung

[Guest]

Ihr tut ja gerade so als wenn der Busen das einzige schöne an einer Frau ist ihr Luschen

[Guest]

Ist es nicht ????

[Makalu]

Naja ein schönes Dekoltie ist doch nicht zu verachten

[dr.magnum]

Ihr habt wieder ein Gesprächsthema

[Shogun]

Aber über dieses Thema können alle mitreden

[Guest]

Bist du dir da sicher

[g1zmo]

Tja jungs dann legt doch mal eure tatsachen auf den tisch

[Michel]

Was nützt mir die 155mm Haubitze, wenn ich nicht damit umgehen kann?

Da ist die kleine Walther pp, die ich beherrsche doch wesentlich effektiver... (Bildlich gesprochen)

Ausserdem: Ist das jetzt ein Waffen- oder Siliconforum?

BTW: Ich habe keine PP, suche aber dringend eine Bedienungsanleitung für eine 155mm.... duck und wech