G 4.8 Bekanntwerden von Softwareschwachstellen

Unter Softwareschwachstellen sollen unbeabsichtigte Programmfehler verstanden werden, die dem Anwender nicht oder noch nicht bekannt sind und ein Sicherheitsrisiko für das IT-System darstellen. Es werden ständig neue Sicherheitslücken in vorhandener, auch in weit verbreiteter oder ganz neuer Software gefunden.

Beispiele:

Bekannte Beispiele für Softwareschwachstellen waren:

• Ein Sendmail Bug unter Unix, durch den es für jeden Benutzer möglich war, unter der UID und GID von sendmail Programme auszuführen und Dateien zu verändern.
• Die Routine gets unter Unix. Diese wurde vom Programm fingerd zum Einlesen einer Zeile benutzt, ohne dass eine Überprüfung der Variablengrenzen vorgenommen wurde. So konnte durch einen Überlauf der Stack so verändert werden, dass eine neue Shell gestartet werden konnte.
• cgi-scripte, die mit WWW-Servern mitgeliefert wurden. Entfernte Anwender konnten sensible Informationen über den WWW-Server erlangen.
• Ein Bug in der DNS-Software ermöglichte das Fälschen zwischengespeicherter DNS-Daten.
• Fehlerhafte Implementationen des TCP/IP-Stacks. Diese ermöglichten das Lahmlegen ganzer Netze mittels übergroßer oder anders manipulierter Pakete.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.