Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

28.03.2003 - 

Cert blamiert

Sicherheitslöcher in Unix veröffentlicht

MÜNCHEN (CW) - Ein Hacker hat vier Dokumente über Sicherheitslöcher in Unix-Systemen ins Internet gestellt, die noch nicht veröffentlicht werden sollten. Der unter dem Decknamen "Hack4Life" operierende Angreifer hat die Unterlagen dem Computer Emergency Response Team (Cert) entwendet. In einem der Texte ist eine Sicherheitslücke einer Library beschrieben, die Sun entwickelt hat und die von vielen Unix- und Linux-basierenden Systemen verwendet wird. Das Problem hatte die Firma eEye Digital Security entdeckt. Es sollte nicht veröffentlicht werden, bis ein Patch vorliegt.

Ebenfalls geheim halten wollte das Cert eigentlich bis Juni dieses Jahres ein Loch im Authentifizierungssystem Kerberos. Auf diese Angriffsmöglichkeit hatte ein Team vom Massachusetts Institute of Technology hingewiesen. Das dritte Cert-Dokument beschreibt Attacken auf den Secure Sockets Layer. Viertens wurde eine E-Mail veröffentlicht, in der sich ein Cert-Mitarbeiter mit einer Warnung von Microsoft befasst, wie sich so genannte Redirection-Server, die Internet-User von einer auf eine andere Domain weiterleiten, für das Verschleiern von Spam-Mail und Denial-of-Service-Angriffe missbrauchen lassen.

Der Hacker behauptet, er habe die Dokumente von einer Firma gestohlen, die mit dem Cert zusammenarbeitet. Auch das Sicherheitsgremium glaubt, dass bei einem Partnerunternehmen die verschlüsselt übertragenen Unterlagen unverschlüsselt auf einem Server gespeichert waren. (ls)