TecChannel Sicherheits-Report

Unterstützung für Fedora 13 läuft aus, Siemens flickt SIMATIC S7-1200, Update für BlackBerry Tablet OS 1.x

Die Fedora-Entwickler erinnern daran, dass Fedora 13 am 24. Juni 2011 offiziell zu Grabe getragen wird. Siemens gibt ein Firmware-Update für PLCs aus.

Siemens hat ein Firmware-Update für SIMANTIC S7-1200 zur Verfügung gestellt. Damit flickt die Firma einen bekannten Fehler in dem PLC (Programmable Logic Controller). Der Fehler hätte es Angreifern unter Umständen erlaubt, den Kontroller ohne das Wissen des Passworts zu stoppen. Bei mehreren PLCs und verschiedenen Passwötern funktioniert der Angriff angeblich nicht. Bei gleichen Kennwörtern könnte sich der Angriff aber auf mehrere PLCs ausweiten lassen. Der Flicken verhindert die "Replay"-Angriffe und ICS-Cert hat das Funktionieren der Aktualisierung bereits bestätigt. Weiterhin bereinigt das Update eine DoS-Schwachstelle. Laut Siemens ist lediglich Firmware-Version 02.00.02 betroffen. Ein Angriff lässt sich auch verhindern, wenn man die integrierte Web-Schnittstelle deaktiviert. Die Geräte S7-300 und S7-400 sind laut Siemens nicht betroffen. Ob alle Schwachstellen damit geschlossen sind, ist fraglich. Sicherheits-Spezialist Dillon Beresford hat auf Bitte von Siemens und ICS-Cert eine Präsentation "Hacking SCADA" nicht gehalten: siemens.com (PDF), us-cert.gov (PDF)

In einer Nachricht an die Fedora-Mailing-Liste hat Entwickler Kevin Fenzi an das Ende von Fedora 13 erinnert. Nach dem 24. Juni 2011 wird es keine weiteren Updates mehr für die von Red Hat gesponserte Distribution der Version 13 geben. Das gilt auch für Sicherheits-Updates und kritische Fehler. Die Entwickler raten Anwendern mit Nachdruck, auf Fedora 14 oder 15 zu wechseln. Fedora 13 debütierte am 25. Mai 2010 und brachte Linux-Kernel 2.6.33, KDE 4.4.2 und GNOME 2.30 mit sich. Fedora 16 soll laut Zeitplan am 25. Oktober 2011 erscheinen: fedoraproject.org

Die BlackBerry-Entwickler haben ein Sicherheits-Update für BlackBerry Tablet OS 1.x bereitgestellt. Darin wird eine Schwachstelle geschlossen, die eine Cross-Site-Scripting-Lücke ausbessert. Die Sicherheitslücke lässt sich von außerhalb ausnutzen und ist als weniger kritisch eingestuft. Sie steht im Zusammenhang mit einer 0-Day-Schwachstelle in Adobe Flash Player. Betroffen sind die Versionen 1.0.5.2304 und früher. Anwender sollten zeitnah aktualisieren: blackberry.com (jdo)