13.11.2011, 11:34
Mamy chyba wysyp dziś takich "kwiatków" Następny do kolekcji za Heise-online.pl
"P rzeznaczony dla klientów firmowych pakiet programów z zakresu bezpieczeństwa firmy Avira wykazuje lukę , przez którą atakujący mogą zakłócać pracę skanerów antywirusowych działających na komputerach klienckich.
Problem
Istotą problemu jest brak uwierzytelniania w komponencie Internet Update Manager (IUM), za pośrednictwem którego klienty pobierają zarówno aktualizacje sygnatur, jak i samego produktu. Dostęp do serwera i zdalnej konfiguracji umożliwia niezabezpieczony interfejs graficzny. Napastnik znajdujący się w wewnętrznej sieci mógłby dzięki temu np. usuwać pakiety aktualizacyjne, a także wyłączać mechanizm dystrybucji lub wydłużać cykl jego pracy.
W przypadku domyślnych ustawień serwera wystarczy uruchomić interfejs IUM na dowolnym komputerze i połączyć się z serwerem bez podawania danych dostępowych. IUM oferuje wprawdzie opcjonalnie uwierzytelnianie za pośrednictwem klienckiego certyfikatu SSL, jednak testy przeprowadzone przez redakcję heise Security wykazały, że dostęp do serwera bez uwierzytelniania jest możliwy nawet z włączoną opcją certyfikatu. Dzieje się tak dlatego, że IUM sam udostępnia ważny certyfikat SSL, który nie jest dodatkowo chroniony hasłem.
Rozwiązanie
Avira potwierdziła opisywany problem i chce rozwiązać go w kolejnej wersji produktu, która ukaże się w pierwszym kwartale 2010 roku. Oprócz poprawki nowe wydanie ma też umożliwiać łatwiejszą zamianę dostarczonego certyfikatu na własny. Ponadtu serwery (SMC, IUM) mają domagać się haseł w celu uwierzytelnienia klienta.
Obejście
Do momentu opublikowania nowej wersji Avira zaleca odpowiednie zabezpieczenie dostępu do usługi IUM, która standardowo nasłuchuje na portach TCP o numerach 7050 i 7051. Firewall powinien umożliwiać dostęp tylko dla komputera lokalnego (127.0.0.1), wewnętrznego IP serwera, a także zaufanych komputerów administratorów, na których powinien działać interfejs graficzny IUM."
"P rzeznaczony dla klientów firmowych pakiet programów z zakresu bezpieczeństwa firmy Avira wykazuje lukę , przez którą atakujący mogą zakłócać pracę skanerów antywirusowych działających na komputerach klienckich.
Problem
Istotą problemu jest brak uwierzytelniania w komponencie Internet Update Manager (IUM), za pośrednictwem którego klienty pobierają zarówno aktualizacje sygnatur, jak i samego produktu. Dostęp do serwera i zdalnej konfiguracji umożliwia niezabezpieczony interfejs graficzny. Napastnik znajdujący się w wewnętrznej sieci mógłby dzięki temu np. usuwać pakiety aktualizacyjne, a także wyłączać mechanizm dystrybucji lub wydłużać cykl jego pracy.
W przypadku domyślnych ustawień serwera wystarczy uruchomić interfejs IUM na dowolnym komputerze i połączyć się z serwerem bez podawania danych dostępowych. IUM oferuje wprawdzie opcjonalnie uwierzytelnianie za pośrednictwem klienckiego certyfikatu SSL, jednak testy przeprowadzone przez redakcję heise Security wykazały, że dostęp do serwera bez uwierzytelniania jest możliwy nawet z włączoną opcją certyfikatu. Dzieje się tak dlatego, że IUM sam udostępnia ważny certyfikat SSL, który nie jest dodatkowo chroniony hasłem.
Rozwiązanie
Avira potwierdziła opisywany problem i chce rozwiązać go w kolejnej wersji produktu, która ukaże się w pierwszym kwartale 2010 roku. Oprócz poprawki nowe wydanie ma też umożliwiać łatwiejszą zamianę dostarczonego certyfikatu na własny. Ponadtu serwery (SMC, IUM) mają domagać się haseł w celu uwierzytelnienia klienta.
Obejście
Do momentu opublikowania nowej wersji Avira zaleca odpowiednie zabezpieczenie dostępu do usługi IUM, która standardowo nasłuchuje na portach TCP o numerach 7050 i 7051. Firewall powinien umożliwiać dostęp tylko dla komputera lokalnego (127.0.0.1), wewnętrznego IP serwera, a także zaufanych komputerów administratorów, na których powinien działać interfejs graficzny IUM."
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"