So helfen wir Ihnen bei Sicherheitsproblemen in unseren Produkten
Wir werden unmittelbar mit der Behebung der Sicherheitsprobleme beginnen und Sie über den Stand informiert halten.
Sie haben auch die Möglichkeit, uns die E-Mail verschlüsselt zukommen zu lassen:
PGP-Schlüssel: greenbone-security-team-public-key
Vor Verwendung über den direkten Kontakt, bitte Schlüssel verifizieren:
60DF 863C 7526 ABDA 1FB5 CB87 AF94 94DA 4F56 EBAF
Sollten Sie einen Fehler in unseren Produkten finden, so bitte wir Sie im Sinne der Responsible Disclosure, uns die Zeit zu geben, den Fehler zu beheben und ein entsprechendes Update für alle Nutzenden verfügbar zu machen. Selbstverständlich erwähnen wir Sie gerne in den entsprechenden Advisories.
Dies entspricht der Vorgehensweise der Responsible Disclosure und dazu analog, wie wir handeln, wenn wir Fehler bei anderen Produkten finden.
Greenbone Security-Advisories
GBSA-2016-02: DoS-Attacke via GET/POST
Zusammenfassung
Alle Appliance-Modelle (außer Greenbone Enterprise 25 und Greenbone Enterprise 25V) mit Greenbone OS 3.1 unterliegen einer DoS-Attacke über die Web-Oberfläche.
Unter der Voraussetzung, dass Angreifende Zugriff auf eine Web-Oberfläche haben, kann eine spezielle GET- oder POST-Anfrage gesendet werden, die ein Außerkraftsetzen der Tokens aller Nutzer-Sessions verursacht.
Betroffen
Alle Appliance-Modelle außer Greenbone Enterprise 25 und Greenbone Enterprise 25V.
Greenbone OS 3.1.1 bis 3.1.25.
Schweregrad
CVSS: AV:A/AC:L/Au:N/C:N/I:N/A:P (3.3 – Niedrig)
Beseitigung
Upgrade auf mindestens Greenbone OS 3.1.26.
Geschichte
2016-01-26: Problem durch Rene Behring identifiziert.
2016-01-28: Problem gelöst und Lösung vorbereitet.
2016-02-02: Lösung als neuen Patch-Level für GOS 3.1 veröffentlicht.
GBSA-2016-01: Cross-Site-Scripting
Zusammenfassung
Alle Appliance-Modelle (außer Greenbone Enterprise 25 und Greenbone Enterprise 25V) mit Greenbone OS 3.1 unterliegen einer Cross-Site-Scripting-Schwachstelle auf der Web-Oberfläche.
Unter der Voraussetzung, dass Angreifende Zugriff auf ein Session-Token der Browser-Session haben, kann ein Cross-Site-Scripting über einen Befehl der Diagramm-Module ausgeführt werden.
Betroffen
Alle Appliance-Modelle außer Greenbone Enterprise 25 und Greenbone Enterprise 25V.
Greenbone OS 3.1.1 bis 3.1.23.
Schweregrad
CVSS: AV:A/AC:M/Au:M/C:P/I:N/A:N (1.9 – Niedrig)
Beseitigung
Upgrade auf mindestens Greenbone OS 3.1.24.
Geschichte
2016-01-07: Problem von Sebastian Neef (Internetwache.org) identifiziert.
2016-01-08: Problem gelöst und Lösung vorbereitet.
2016-01-09: Lösung als neuen Patch-Level für GOS 3.1 veröffentlicht.
2016-01-20: Zugewiesene CVE-2016-1926 hinzugefügt.
GBSA-2015-01: Baseboard-Steuerung via BMC-Werkseinstellungen
Zusammenfassung
Die Modelle Greenbone Enterprise 600 und Greenbone Enterprise 650 besitzen Werkseinstellungen des BMC (Baseboard Management Controller), die zum Zeitpunkt des Versands nicht vorkonfiguriert waren. Es ist möglich, einen vorkonfigurierten Account zu nutzen, um via Netzwerk auf die Hardware-Administration zuzugreifen. Neben dem Auslesen des Hardware-Profils, ist es auch möglich, das Gerät zu rebooten oder herunterzufahren.
Betroffen
Hardware-Modelle Greenbone Enterprise 600 und Greenbone Enterprise 650 mit
- Greenbone OS 3.0.1 bis 3.0.36
- Greenbone OS 3.1.1 bis 3.1.18
Schweregrad
CVSS: AV:A/AC:L/Au:S/C:P/I:P/A:C (6.7 – Mittel)
Beseitigung
Upgrade auf mindestens Greenbone OS 3.0.37 bzw. Greenbone OS 3.1.18.
Temporäre Umgehung: BMC manuell bzgl. Netzwerk-Kanal und Nutzeraccounts neu konfigurieren.
Geschichte
2015-09-22: Problem durch Greenbone-Mitarbeitende identifiziert.
2015-09-23: Problem gelöst und Lösung als neuen Patch-Level für GOS 3.1 und GOS 3.0 veröffentlicht.
GBSA-2014-02: SQL-Injection
Zusammenfassung
Ein Software-Fehler im Server-Modul „OpenVAS Manager“ ermöglichte es Remote-Angreifenden, SQL-Code zu integrieren, welcher Daten aus der Datenbank ausliest.
Greenbone OS ist von dieser Schwachstelle betroffen. Ein erfolgreicher Angriff ist möglich, falls Angreifende einen Nutzeraccount für die Web-Oberfläche oder für OMP besitzen. Die Angreifenden erhalten Lesezugriff auf die Datenbank.
Greenbone OS ist betroffen, falls der Nutzeraccount die Berechtigung hat, Zeitplan-Objekte zu verwalten. Dies ist standardmäßig für die Rollen „User“ und „Admin“ der Fall.
Betroffen
Greenbone OS 2.2.0-1 bis 2.2.0-33.
Greenbone OS 3.0.1 bis 3.0.28.
Schweregrad
CVSS: AV:N/AC:L/Au:S/C:C/I:N/A:N (6.8 – Mittel)
Beseitigung
Upgrade auf mindestens Greenbone OS 2.2.0-34 bzw. Greenbone OS 3.0.29.
Temporäre Umgehung: nicht vertrauenswürdige Nutzeraccounts deaktivieren.
Referenzen
- CVE-2014-9220
- OpenVAS Security Advisory OVSA20141128
Geschichte
2014-11-28: Problem durch Greenbone-Mitarbeitende identifiziert (12:50), Problem gelöst (15:50), Lösung als neuen Patch-Level für GOS 2.2.0 und GOS 3.0 veröffentlicht (18:40).
GBSA-2014-01: DHCP-Code-Injection via Bash-Fehler "Shellshock"
Zusammenfassung
Ein Software-Fehler im Shell-Programm „Bash“ erlaubt es Remote-Angreifenden, beliebigen Code auszuführen. Dieser Fehler ist auch bekannt als „Shellshock“.
Greenbone OS ist bezüglich der DHCP-Client-Funktion von diesem Fehler betroffen. Ein erfolgreicher Angriff ist möglich, sofern die Angreifenden den DHCP-Server des internen Netzwerks übernehmen oder einen eigenen DHCP-Dienst in das interne Netzwerk einschleusen können. Angreifende können dabei Root-Rechte erlangen.
Greenbone OS ist in diesem Szenario nur dann betroffen, falls DHCP für Greenbone OS konfiguriert wurde. Bei der Verwendung einer statischen IP-Adresse besteht diese Angriffsmöglichkeit nicht.
Betroffen
Greenbone OS 2.2.0-1 bis 2.2.0-31, sofern DHCP eingeschaltet ist.
Greenbone OS 3.0.1 bis 3.0.25, sofern DHCP eingeschaltet ist.
Beseitigung
Upgrade auf mindestens Greenbone OS 2.2.0-32 bzw. Greenbone OS 3.0.26.
Temporäre Umgehung: DHCP deaktivieren und stattdessen eine statische IP-Adresse verwenden.
Referenzen
- CVE-2014-6271
Geschichte
2014-09-24: Allgemeiner Problembericht zu Bash erhalten und verifiziert.
2014-09-25: Analyse des Angriffsvektors für Greenbone OS und Test von Lösungen.
2014-09-26: Lösung als Patch-Level für GOS 2.2.0 und GOS 3.0 veröffentlicht.
GBSA-2013-01: Umgehung der OMP-Authentifizierung
Zusammenfassung
Ein Software-Fehler im Server-Modul „OpenVAS Manager“ ermöglichte es, die OMP-Authentifzierung-Prozedur zu umgehen. Der Angriffsvektor ist remote nutzbar, wenn die Appliance „Public OMP“ eingeschaltet hat. Im Falle eines erfolgreichen Angriffs erhalten die Angreifenden partielle Rechte, OMP-Befehle auszuführen. Diese Umgehung der Authentifizierung ist allerdings unvollständig, sodass einige OMP-Befehle bei der Ausführung einen Fehler melden oder unvollständig ablaufen.
Betroffen
Greenbone OS 2.2.0-1 bis 2.2.0-19, sofern „Public OMP“ eingeschaltet ist.
Beseitigung
Upgrade auf mindestens Greenbone OS 2.2.0-20.
Temporäre Umgehung: „Public OMP“ deaktivieren.
Referenzen
- CVE-2013-6765
- OpenVAS-Sicherheitsmeldung OVSA20131108
Geschichte
2013-11-07: Problem-Bericht erhalten und verifiziert.
2013-11-08: Lösung implementiert, bestätigt und bereitgestellt sowie Problem und Lösung veröffentlicht.
2013-11-14: Zuteilung einer CVE erfolgt.
2013-11-15: OpenVAS Sicherheitsmeldung OVSA20131108 freigegeben.
