Netzpolitik
Aufregung um vermeintliche Red-Hat-Hintertür <B>[UPDATE]</B>
Microsoft mußte bei NT 4.0 und Windows 2000 nachbessern - Sicherheitsloch: Maschine wird immer langsamer
Ein Verwaltungsprogramm der Red-Hat-Linux-Distribution
enthält ein Standardpasswort,
dass im Zusammenspiel mit einer weiteren Sicherheitslücke Angreifern vollständigen
Zugang zum betroffenen Rechner gewähren kann. Die Firma
Internet Security Systems
, die
das Problem in einem Security Advisory gemeldet hat, sprach allerdings unglücklicherweise
von einem "Hintertür-Passwort", sodass bei vielen der Eindruck entstand, hier sei ein
geheimer Zugang für die Programmierer der Software offen gehalten worden.
Tatsächlich handelt es sich um ein dokumentiertes Standardpasswort im
Piranha-GUI-Package, einer grafischen Oberfläche zur Verwaltung von Web- und
ftp-Clustern mit Load Balancing. Dies wird lediglich dann zu einem Problem, wenn der
Anwender die Empfehlung von Red Hat missachtet und das Passwort nicht ändert,
nachdem er das Paket installiert hat. Für die zweite Sicherheitslücke in einem Skript der
Oberfläche, durch die sich bei bekanntem Passwort Shell-Kommandos absetzen ließen,
steht mittlerweile ein
Patch
bereit.
Auch
Microsoft
hat einen Patch für Windows 2000 und NT 4.0
veröffentlicht.
Betroffen ist die CMD.exe-File in beiden Betriebssystemen. Der Command Prozessor hat einen unkontrollierten
Zwischenspeicher, in dem Unbefugte zwar keinen Code laufen lassen könnten, der aber offen für Overruns ist.
Dadurch wird der Webserver extrem langsam und kann Anfragen nicht mehr beantworten. (heise/ZDNet)