ISS rät vom Einsatz von Trend Micros ServerProtect ab
IBMs Sicherheitsspezialisten wollen in ServerProtect mehrere schwerwiegende Sicherheitslücken entdeckt haben, die sich ausnutzen lassen, um einen Server zu kompromittieren. Trend Micro soll angeblich nicht in der Lage sein, adäquate Patches zu entwickeln.
- Daniel Bachfeld
IBMs Sicherheitsspezialisten von ISS haben in Trend Micros ServerProtect mehrere schwerwiegende SicherheitslĂĽcken gemeldet, die sich ĂĽber das Netz ausnutzen lassen, um einen Server zu kompromittieren. Betroffen sind ServerProtect for EMC Celerra 5.x, ServerProtect for Network Appliance Filer 5.x und ServerProtect for Windows/NetWare 5.x.
Von den insgesamt acht Lücken beruhen die meisten auf Heap Overflows in RPC-Funktionen. Mehr Informationen will ISS jedoch nicht veröffentlichen, weil nach Meinung von David Dewey, Mitarbeiter der IBM ISS X-Force Research, nicht unbedingt mit Patches zu rechnen ist. Einem Blogeintrag von Dewey zufolge soll Trend Micro nämlich nicht in der Lage oder unwillig sein, funktionierende Patches zu veröffentlichen.
Bereits 2006 habe man Trend Micro erstmals mit Informationen über Lücken in ServerProtect versorgt und seitdem kontinuierlich weitere Schwachstellen gemeldet. In allen Fällen haben der Hersteller zwar zugesichert, in einem kommenden Update die Lücken zu schließen, bislang aber trotzdem keine adäquate Abhilfe geschaffen. Ein im März 2008 veröffentlichter Patch soll so schlecht implementiert gewesen sein, dass ISS es innerhalb weniger Minuten geschafft haben will, die Lücke trotzdem auszunutzen.
Die Versuche, Trend Micros Entwickler mit Videos zum Ausnutzen der Schwachstellen, Tipps zum Schließen der Lücken und Dokumentationen zu versorgen, hätten nicht gefruchtet. Selbst als man die direkte Zusammenarbeit aufgegeben hatte und ISS stattdessen versuchte, die Lösung eines Sicherheitsproblems über CERT/CC und das japanische JP-CERT zu koordinieren, sei es nicht zur Beseitigung der Lücken gekommen.
Aus diesen Gründen rät Dewey seinen Kunden vom Einsatz von Trend Micros vornehmlich in Unternehmen eingesetztem ServerProtect ab. Die gelieferten Informationen zu den Lücken müssten ausreichen, um einen Eindruck vom Risiko zu erhalten. Informationen zum schnelleren Finden und Ausnutzen will man nicht verraten – was ohnehin bei keiner der von ISS entdeckten Lücke geschieht, um seine Kunden nicht zu gefährden. Gegenüber US-Medien hat Trend Micro erklärt, funktionierende Patches zum Schließen der Lücken veröffentlicht zu haben.
Der Schritt, ganz offen von einem Produkt eines Mitbewerbers abzuraten, ist für ein Sicherheitsunternehmen eher ungewöhnlich. ISS steht mit seinen Intrusion-Detection-Lösungen für Netze, Server und Desktop in direkter Konkurrenz zu Trend Micro. Allerdings schützt ServerProtect eher vor Infektionen durch Viren, während Produkte von ISS eher vor Angriffen über das Netz schützen
Siehe dazu auch.
- Advisories, Ăśberblick ĂĽber Fehlerberichte von ISS
- The Scoop on the X-Force TrendMicro Advisories, Blgoeintrag von David Dewey
(dab)
