[Warning] Sicherheitslücken in Symantec pcAnywhere
Otmar Lendl
lendl at cert.at
Thu Jan 26 22:11:31 CET 2012
26. Jänner 2011
Der Software-Hersteller Symantec warnt vor Sicherheitslücken in der
Fernwartungssoftware pcAnywhere.
Da diese Software auch Teil der Client-Management-Lösungen der
Altiris-Reihe ist, und diese in vielen Unternehmen eingesetzt wird,
bittet CERT.at um Beachtung der folgenden Hinweise:
Beschreibung
pcAnywhere nimmt auf TCP-Port 5631 Anfragen zur Fernsteuerung des PCs
entgegen. In der Authentisierung dieser Verbindungen wurde ein Fehler
(mangelnde Eingabeprüfungen) gefunden, der es einem Angreifer erlaubt,
Code einzuschleusen und auszuführen. (CVE-2011-3478, CVSS2: 8.3)
Es existiert auch eine Lücke in Bezug auf Local Access File Tampering,
die sich jedoch deutlich schwieriger ausnützen lassen sollte.
(CVE-2011-3479, CVSS2: 6.8)
Wie Symantec weiters berichtet, wurde vor einigen Jahren Quellcode für
diverse Produkte gestohlen, darunter auch für pcAnywhere. Es ist daher
anzunehmen, dass damit die in pcAnywhere verwendeten Verschlüsselungs-
und Authentisierungsalgorithmen analysiert werden und deren
Schwachstellen auch bald publik werden.
Symantec weist darauf hin, dass ein Angreifer mit Kenntnis der
Algorithmen weitere Angriffsvektoren hat (Man-in-the-middle, Abhören,
...) und rät daher zu weiteren Vorsichtsmaßnahmen beim Einsatz von
pcAnywhere.
Symantec hat sowohl eine Warnung [1] zu den Problemen mit pcAnywhere als
auch ein allgemeineres Whitepaper [2] dazu herausgegeben.
Auswirkungen
Da der Angreifer dadurch potentiell beliebigen Code auf betroffenen
Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
Systeme gefährdet.
Betroffene Systeme
Laut Symantec sind folgende Softwareprodukte/-suiten betroffen:
* pcAnywhere 12.5.x und älter
* IT Management Suite 7.0 pcAnywhere Solution 12.5.x und älteru
* IT Management Suite 7.1 pcAnywhere Solution 12.6.x und älter
Weiters ist pcAnywhere auch in folgenden Produkten der Altiris-Reihe
enthalten:
* Altiris Client Management Suite
* Altiris IT Management Suite ab Version 7.0
* Altiris Deployment Solution with Remote 7.1
Abhilfe
Installation der bereitgestellten Updates, wo verfügbar, etwa per
LiveUpdate. Weitere empfohlene Maßnahmen sind im Whitepaper [2]
angegeben.
Insbesondere weist Symantec darauf hin, dass in Firmennetzen die
pcAnywhere-Installationen nicht von außen erreichbar sein sollen und
der Dienst nur dann laufen soll, wenn er gerade gebraucht wird. Dazu
enthält das Whitepaper entsprechende Skripte.
Hinweise
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, und auch auf Servern sich
automatisch die verfügbaren Updates anzeigen zu lassen.
__________________________________________________________________
Referenzen:
[1]
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00
[2]
http://www.symantec.com/connect/sites/default/files/pcAnywhere%20Security%20Recommendations%20WP_01_23_Final.pdf
--
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
// CERT.at -- http://www.cert.at/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20120126/787ca3bd/attachment.sig>
More information about the Warning
mailing list