Security Response Team

So helfen wir Ihnen bei Sicherheitsproblemen in unseren Produkten

Bei auftauchenden Sicherheitsproblemen in unserem Produkt oder unserer Dienstleistung, schreiben Sie bitte eine Nachricht an diese E-Mail-Adresse und stellen Sie so viele Informationen wie möglich bereit:

security@greenbone.net

Wir werden unmittelbar mit der Behebung der Sicherheitsprobleme beginnen und Sie über den Stand informiert halten.

Sie haben auch die Möglichkeit, uns die E-Mail verschlüsselt zukommen zu lassen:

PGP-Schlüssel: greenbone-security-team-public-key

Vor Verwendung über den direkten Kontakt, bitte Schlüssel verifizieren:

60DF 863C 7526 ABDA 1FB5  CB87 AF94 94DA 4F56 EBAF

Sollten Sie einen Fehler in unseren Produkten finden, so bitte wir Sie im Sinne der Responsible Disclosure, uns die Zeit zu geben, den Fehler zu beheben und ein entsprechendes Update für alle Anwender verfügbar zu machen. Selbstverständlich erwähnen wir Sie gerne in den entsprechenden Advisories.

Dies entspricht der Vorgehensweise der Responsible Disclosure und dazu analog, wie wir handeln, wenn wir Fehler bei anderen Produkten finden.

Greenbone Security-Advisories

GBSA-2016-02: DoS-Attacke via GET/POST

Zusammenfassung

Alle GSM-Modelle (außer GSM 25 und GSM 25V) mit Greenbone OS 3.1 unterliegen einer DoS-Attacke über die Web-Oberfläche.

Unter der Voraussetzung, dass der Angreifer Zugriff auf eine GSM-Web-Oberfläche hat, kann eine spezielle GET- oder POST-Anfrage gesendet werden, die ein Außerkraftsetzen der Tokens aller Nutzer-Sessions verursacht.

Betroffen

Alle GSM-Modelle außer GSM 25 und GSM 25V.

Greenbone OS 3.1.1 bis 3.1.25.

Schweregrad

CVSS: AV:A/AC:L/Au:N/C:N/I:N/A:P (3.3 – Niedrig)

Beseitigung

Upgrade auf mindestens Greenbone OS 3.1.26.

Geschichte

2016-01-26: Problem durch Rene Behring identifiziert.
2016-01-28: Problem gelöst und Lösung vorbereitet.
2016-02-02: Lösung als neuen Patch-Level für GOS 3.1 veröffentlicht.

Dieses Advisory als CVRF herunterladen

GBSA-2016-01: Cross-Site-Scripting

Zusammenfassung

Alle GSM-Modelle (außer GSM 25 und GSM 25V) mit Greenbone OS 3.1 unterliegen einer Cross-Site-Scripting-Schwachstelle auf der Web-Oberfläche.

Unter der Voraussetzung, dass der Angreifer Zugriff auf ein Session-Token der Browser-Session hat, kann ein Cross-Site-Scripting über einen Befehl der Diagramm-Module ausgeführt werden.

Betroffen

Alle GSM-Modelle außer GSM 25 und GSM 25V.

Greenbone OS 3.1.1 bis 3.1.23.

Schweregrad

CVSS: AV:A/AC:M/Au:M/C:P/I:N/A:N (1.9 – Niedrig)

Beseitigung

Upgrade auf mindestens Greenbone OS 3.1.24.

Geschichte

2016-01-07: Problem von Sebastian Neef (Internetwache.org) identifiziert.
2016-01-08: Problem gelöst und Lösung vorbereitet.
2016-01-09: Lösung als neuen Patch-Level für GOS 3.1 veröffentlicht.
2016-01-20: Zugewiesene CVE-2016-1926 hinzugefügt.

Dieses Advisory als CVRF herunterladen

GBSA-2015-01: Baseboard-Steuerung via BMC-Werkseinstellungen

Zusammenfassung

Die Modelle GSM 600 und GSM 650 besitzen Werkseinstellungen des BMC (Baseboard Management Controller), die zum Zeitpunkt des Versands nicht vorkonfiguriert waren. Es ist möglich, einen vorkonfigurierten Account zu nutzen, um via Netzwerk auf die Hardware-Administration zuzugreifen. Neben dem Auslesen des Hardware-Profils, ist es auch möglich, das Gerät zu rebooten oder herunterzufahren.

Betroffen

Hardware-Modelle GSM 600 und GSM 650 mit

  • Greenbone OS 3.0.1 bis 3.0.36
  • Greenbone OS 3.1.1 bis 3.1.18

Schweregrad

CVSS: AV:A/AC:L/Au:S/C:P/I:P/A:C (6.7 – Mittel)

Beseitigung

Upgrade auf mindestens Greenbone OS 3.0.37 bzw. Greenbone OS 3.1.18.

Temporäre Umgehung: BMC manuell bzgl. Netzwerk-Kanal und Nutzeraccounts neu konfigurieren.

Geschichte

2015-09-22: Problem durch Greenbone-Mitarbeiter identifiziert.
2015-09-23: Problem gelöst und Lösung als neuen Patch-Level für GOS 3.1 und GOS 3.0 veröffentlicht.

Dieses Advisory als CVRF herunterladen

GBSA-2014-02: SQL-Einspeisung

Zusammenfassung

Ein Software-Fehler im Server-Modul „OpenVAS Manager“ ermöglichte es Remote-Angreifern, SQL-Code einzuspeisen, welcher Daten aus der Datenbank ausliest.

Greenbone OS ist von dieser Schwachstelle betroffen. Ein erfolgreicher Angriff ist möglich, falls der Angreifer einen Nutzeraccount für die Web-Oberfläche oder für OMP besitzt. Der Angreifer erhält Lesezugriff auf die Datenbank.

Greenbone OS ist betroffen, falls der Nutzeraccount die Berechtigung hat, Zeitplan-Objekte zu verwalten. Dies ist standardmäßig für die Rollen „User“ und „Admin“ der Fall.

Betroffen

Greenbone OS 2.2.0-1 bis 2.2.0-33.

Greenbone OS 3.0.1 bis 3.0.28.

Schweregrad

CVSS: AV:N/AC:L/Au:S/C:C/I:N/A:N (6.8 – Mittel)

Beseitigung

Upgrade auf mindestens Greenbone OS 2.2.0-34 bzw. Greenbone OS 3.0.29.

Temporäre Umgehung: nicht vertrauenswürdige Nutzeraccounts deaktivieren.

Referenzen

Geschichte

2014-11-28: Problem durch Greenbone-Mitarbeiter identifiziert (12:50), Problem gelöst (15:50), Lösung als neuen Patch-Level für GOS 2.2.0 und GOS 3.0 veröffentlicht (18:40).

Dieses Advisory als CVRF herunterladen

GBSA-2014-01: DHCP-Code-Einspeisung via Bash-Fehler "Shellshock"

Zusammenfassung

Ein Software-Fehler im Shell-Programm „Bash“ erlaubt es Remote-Angreifern, beliebigen Code auszuführen. Dieser Fehler ist auch bekannt als „Shellshock“.

Greenbone OS ist bezüglich der DHCP-Client-Funktion von diesem Fehler betroffen. Ein erfolgreicher Angriff ist möglich, sofern der Angreifer den DHCP-Server des internen Netzwerks übernehmen oder einen eigenen DHCP-Dienst in das interne Netzwerk einschleusen kann. Der Angreifer kann dabei Root-Rechte erlangen.

Greenbone OS ist in diesem Szenario nur dann betroffen, falls DHCP für Greenbone OS konfiguriert wurde. Bei der Verwendung einer statischen IP-Adresse besteht diese Angriffsmöglichkeit nicht.

Betroffen

Greenbone OS 2.2.0-1 bis 2.2.0-31, sofern DHCP eingeschaltet ist.

Greenbone OS 3.0.1 bis 3.0.25, sofern DHCP eingeschaltet ist.

Beseitigung

Upgrade auf mindestens Greenbone OS 2.2.0-32 bzw. Greenbone OS 3.0.26.

Temporäre Umgehung: DHCP deaktivieren und stattdessen eine statische IP-Adresse verwenden.

Referenzen

  • CVE-2014-6271

Geschichte

2014-09-24: Allgemeiner Problembericht zu Bash erhalten und verifiziert.
2014-09-25: Analyse des Angriffsvektors für Greenbone OS und Test von Lösungen.
2014-09-26: Lösung als Patch-Level für GOS 2.2.0 und GOS 3.0 veröffentlicht.

Dieses Advisory als CVRF herunterladen

GBSA-2013-01: Umgehung der OMP-Authentifizierung

Zusammenfassung

Ein Software-Fehler im Server-Modul „OpenVAS Manager“ ermöglichte es, die OMP-Authentifzierung-Prozedur zu umgehen. Der Angriffsvektor ist remote nutzbar, wenn der GSM „Public OMP“ eingeschaltet hat. Im Falle eines erfolgreichen Angriffs erhält der Angreifer partielle Rechte, OMP-Befehle auszuführen. Diese Umgehung der Authentifizierung ist allerdings unvollständig, sodass einige OMP-Befehle bei der Ausführung einen Fehler melden oder unvollständig ablaufen.

Betroffen

Greenbone OS 2.2.0-1 bis 2.2.0-19, sofern „Public OMP“ eingeschaltet ist.

Beseitigung

Upgrade auf mindestens Greenbone OS 2.2.0-20.

Temporäre Umgehung: „Public OMP“ deaktivieren.

Referenzen

Geschichte

2013-11-07: Problem-Bericht erhalten und verifiziert.
2013-11-08: Lösung implementiert, bestätigt und bereitgestellt sowie Problem und Lösung veröffentlicht.
2013-11-14: Zuteilung einer CVE erfolgt.
2013-11-15: OpenVAS Sicherheitsmeldung OVSA20131108 freigegeben.

Dieses Advisory als CVRF herunterladen