{"id":321,"date":"2007-11-08T16:20:23","date_gmt":"2007-11-08T14:20:23","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/321-patchmanagement-und-risikoanalyse-von-vulnerabilities"},"modified":"2018-05-31T17:17:06","modified_gmt":"2018-05-31T16:17:06","slug":"patchmanagement-und-risikoanalyse-von-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/321-patchmanagement-und-risikoanalyse-von-vulnerabilities","title":{"rendered":"Patchmanagement und Risikoanalyse von Vulnerabilities"},"content":{"rendered":"<p>Es gibt viele Sicherheitsl\u00fccken f\u00fcr die keine \u00f6ffentlichen Exploits verf\u00fcgbar sind und scheinbar auch nicht mehr entwickelt werden.  Ein Beispiel ist eine der aktuellen Sicherheitsl\u00fccken in Apple Quicktime. Hier gibt es auf SecurityFocus eine Meldung &#8222;<a href=\"http:\/\/www.securityfocus.com\/bid\/26342\">Apple QuickTime Panorama Sample Atoms Remote Heap Buffer Overflow Vulnerability<\/a>&#8220; mit der Bugtraq-ID 26342 und wenn man nach dem Exploit schauen m\u00f6chte erh\u00e4lt man die Meldung:<\/p>\n<ul>&#8222;Currently we are not aware of any exploits for this issue. If you feel we are in error or if you are aware of more recent information, please mail us at: vuldb@securityfocus.com.&#8220;<\/ul>\n<p>Klingt gut. Die Risikobewertung sieht dann vielleicht so aus:<\/p>\n<table>\n<tr>\n<th>Risikobewertung<\/th>\n<th>Beschreibung<\/th>\n<\/tr>\n<tr>\n<td>sehr hoch<\/td>\n<td>Exploits sind verf\u00fcgbar und werden gro\u00dffl\u00e4chig eingesetzt. Dies w\u00fcrde beispielsweise bei einem Browser-Exploit zutreffen, der von einer Vielzahl von Webseiten genutzt wird die auch noch aktiv z.B. per Spam beworben werden.<\/td>\n<\/tr>\n<tr>\n<td>hoch<\/td>\n<td>Exploits existieren, sind jedoch nicht \u00f6ffentlich verf\u00fcgbar. Das Risiko wird hoch eingestuft, da diese Exploits vermutlich k\u00e4uflich zu erwerben sind oder jederzeit ver\u00f6ffentlicht werden k\u00f6nnen, die Exploits werden jedoch voraussichtlich nicht sofort weit verbreitet eingesetzt.<\/td>\n<\/tr>\n<tr>\n<td>normal<\/td>\n<td>Eine Sicherheitsl\u00fccke existiert, es gibt jedoch keine bekannten Exploits. Das kann daran liegen, dass entweder nicht klar ist wie die L\u00fccke tats\u00e4chlich ausgenutzt werden kann oder der Fehler wurde vom Hersteller entdeckt und behoben, daher gibt es keine Exploits.<\/td>\n<\/tr>\n<tr>\n<td>gering<\/td>\n<td>Sicherheitsl\u00fccken existieren m\u00f6glicherweise, es gibt jedoch keine bekannte best\u00e4tigte L\u00fccke und folglich auch keinen Exploit. Potentiell besteht jedoch immer die Gefahr von Zero Day Vulnerabilities<\/td>\n<\/tr>\n<\/table>\n<p>Das Problem mit dieser Risikobewertung ist der zeitliche Verlauf. Aufgrund der Einstufung einer Schwachstelle als &#8222;normal&#8220; unterbleibt gerade bei Systemen in einer Produktionsanlage oft das Testen und Installieren eines Patches. Gerne auch mal f\u00fcr einige Jahre. Wenn dann sehr viel sp\u00e4ter ein Exploit programmiert wird, springt das Risiko von &#8222;normal&#8220; auf &#8222;hoch&#8220;, es gibt jedoch niemanden mehr, der diese Schwachstelle und das zugeh\u00f6rige Exploitpotential beobachtet.<\/p>\n<p>Ein sehr sch\u00f6nes Beispiel ist gerade auf SecurityFocus zu finden. Die Schwachstelle &#8222;<a href=\"http:\/\/www.securityfocus.com\/bid\/4639\">Sun Solaris RWall Daemon Syslog Format String Vulnerability<\/a>&#8220; mit der BID 4639 ist schon etwas \u00e4lter, genau genommen 2002 von Gobbles (kann sich eigentlich noch jemand an den Gobbles-Krieg gegen Theo de Raad und den <a href=\"http:\/\/www.securityfocus.com\/news\/493\">Apache-scalp.c<\/a> chunked encoding Bug Exploit erinnern?) entdeckt worden und hat lange keine gr\u00f6\u00dfere Rolle gespielt.<\/p>\n<p>Jetzt steht diese uralte L\u00fccke pl\u00f6tzlich ganz weit oben mit dem Vermerk &#8222;Updated:  \t\t\t \t\t\t \t\t\t\tNov 08 2007 12:05 AM&#8220; und auf der Exploit-Seite findet man den Hinweis:<\/p>\n<ul>&#8222;UPDATE: Core Security Technologies has developed a working commercial exploit for its CORE IMPACT product. This exploit is not otherwise publicly available or known to be circulating in the wild.&#8220;<\/ul>\n<p>Den gleichen Vermerk findet man in mehreren Eintr\u00e4gen, vermutlich Folge eines neuen Releases von Core Impact. Betroffen sind mindestens die BID <a href=\"http:\/\/www.securityfocus.com\/bid\/3681\/exploit\">3681<\/a>, <a href=\"http:\/\/www.securityfocus.com\/bid\/4639\/exploit\">4639<\/a> und <a href=\"http:\/\/www.securityfocus.com\/bid\/1480\/exploit\">1480<\/a>.<\/p>\n<p>Beobachtet eigentlich noch irgendwer die alten ungepatchten L\u00fccken \u00fcber die man vor vier oder f\u00fcnf Jahren mal lange diskutiert hatte?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es gibt viele Sicherheitsl\u00fccken f\u00fcr die keine \u00f6ffentlichen Exploits verf\u00fcgbar sind und scheinbar auch nicht mehr entwickelt werden. Ein Beispiel ist eine der aktuellen Sicherheitsl\u00fccken in Apple Quicktime. Hier gibt es auf SecurityFocus eine Meldung &#8222;Apple QuickTime Panorama Sample Atoms Remote Heap Buffer Overflow Vulnerability&#8220; mit der Bugtraq-ID 26342 und wenn man nach dem Exploit [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,11,6],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/321"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=321"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/321\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}