[Warning] Sicherheitslücken in Symantec pcAnywhere

Otmar Lendl lendl at cert.at
Thu Jan 26 22:11:31 CET 2012


   26. Jänner 2011

   Der Software-Hersteller Symantec warnt vor Sicherheitslücken in der
   Fernwartungssoftware pcAnywhere.

   Da diese Software auch Teil der Client-Management-Lösungen der
   Altiris-Reihe ist, und diese in vielen Unternehmen eingesetzt wird,
   bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

   pcAnywhere nimmt auf TCP-Port 5631 Anfragen zur Fernsteuerung des PCs
   entgegen. In der Authentisierung dieser Verbindungen wurde ein Fehler
   (mangelnde Eingabeprüfungen) gefunden, der es einem Angreifer erlaubt,
   Code einzuschleusen und auszuführen. (CVE-2011-3478, CVSS2: 8.3)

   Es existiert auch eine Lücke in Bezug auf Local Access File Tampering,
   die sich jedoch deutlich schwieriger ausnützen lassen sollte.
   (CVE-2011-3479, CVSS2: 6.8)

   Wie Symantec weiters berichtet, wurde vor einigen Jahren Quellcode für
   diverse Produkte gestohlen, darunter auch für pcAnywhere. Es ist daher
   anzunehmen, dass damit die in pcAnywhere verwendeten Verschlüsselungs-
   und Authentisierungsalgorithmen analysiert werden und deren
   Schwachstellen auch bald publik werden.

   Symantec weist darauf hin, dass ein Angreifer mit Kenntnis der
   Algorithmen weitere Angriffsvektoren hat (Man-in-the-middle, Abhören,
   ...) und rät daher zu weiteren Vorsichtsmaßnahmen beim Einsatz von
   pcAnywhere.

   Symantec hat sowohl eine Warnung [1] zu den Problemen mit pcAnywhere als
   auch ein allgemeineres Whitepaper [2] dazu herausgegeben.

Auswirkungen

   Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
   Systeme gefährdet.

Betroffene Systeme

   Laut Symantec sind folgende Softwareprodukte/-suiten betroffen:
     * pcAnywhere 12.5.x und älter
     * IT Management Suite 7.0 pcAnywhere Solution 12.5.x und älteru
     * IT Management Suite 7.1 pcAnywhere Solution 12.6.x und älter

   Weiters ist pcAnywhere auch in folgenden Produkten der Altiris-Reihe
   enthalten:
     * Altiris Client Management Suite
     * Altiris IT Management Suite ab Version 7.0
     * Altiris Deployment Solution with Remote 7.1

Abhilfe

   Installation der bereitgestellten Updates, wo verfügbar, etwa per
   LiveUpdate. Weitere empfohlene Maßnahmen sind im Whitepaper [2]
   angegeben.

   Insbesondere weist Symantec darauf hin, dass in Firmennetzen die
   pcAnywhere-Installationen nicht von außen erreichbar sein sollen und
   der Dienst nur dann laufen soll, wenn er gerade gebraucht wird. Dazu
   enthält das Whitepaper entsprechende Skripte.

Hinweise

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, und auch auf Servern sich
   automatisch die verfügbaren Updates anzeigen zu lassen.
     __________________________________________________________________


Referenzen:

   [1]
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00

   [2]
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf

-- 
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
//       CERT.at    --      http://www.cert.at/

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120126/787ca3bd/attachment.sig>


More information about the Warning mailing list