Derzeit verbreiten sich zwei Würmer über Schwachstellen in verschiedenen, in Perl und PHP geschriebenen Webanwendungen.
Informationen zu diesem Wurm finden sich zum Beispiel unter:
XML-RPC for PHP Vulnerability Attack (SANS, 2005-11-07)
Linux.Plupii (Symantec, 2005-11-10)
Linux/Lupper.A (CA, 2005-11-08)
Linux/Lupper.B (CA, 2005-11-08)
Ausgenutzt werden offenbar die folgenden Schwachstellen:
CVE-2005-1921, eine Schwachstelle in einer weitverbreiteten, in PHP geschriebenen XMLRPC-Implementierung
CVE-2005-1950, eine Schwachstelle in einer Webanwendung namens „Webhints“
CVE-2005-0116, eine Schwachstelle in AWStats
CVE-2005-1950, in Webhints
CVE-2005-0689, in “The Includer”
CA gibt die AWStats-Schwachstelle als AWStats Rawlog Plugin Logfile Parameter Input Validation Vulnerability (Symantec, 2005-11-07) an, was angesichts der von SANS gezeigten URLs jedoch falsch zu sein scheint.
Mit anderen Worten: Das heute (2005-11-10) erschiene Debian-Security-Advisory DSA-892-1 hat mit diesen Würmern nichts zu tun. Wie unter CVE-2005-0116 und CVE-2005-1921 zu sehen ist, wurden die für Debian relevanten Schwachstellen glücklicherweise schon früher behoben (wenn wir mal von woody absehen, wo der Status noch ungeklärt ist).
Glücklicherweise hat der Wurm eine konzeptionelle Schwäche: Neu infizierte Rechner laden den Wurm-Code von zentralen Servern. Diese Server sind derzeit nicht erreichbar, entweder wegen Überlastung oder aufgrund gezielter Sperrung der IP-Adressen. Trotzdem empfiehlt es sich, in Flow-Logs oder ähnlichem nach Zugriffen auf die Adressen (derzeit 24.224.174.18 und 62.101.193.244) zu suchen, um halbinfizierte Systeme zu erkennen und die Schwachstelle zu stopfen.
2005-11-10 08:15: veröffentlicht