Thema: Microsoft-Sicherheits-Update stört Netzwerkverbindung

[SiLæncer]

Ein Bugreport von Microsoft beschreibt Probleme mit dem Sicherheits-Update MS05-019 für Windows Server 2003 SP1: Nach dem Einspielen des Patches, der einige kritische Sicherheitslücken im TCP/IP-Stack schließt, kann es zu Verbindungsproblemen zwischen Exchange Servern und Domain Controllern kommen. Auch bei der Replikation zwischen Domain Controllern untereinander kann die Netzwerkverbindung komplett ausfallen.

Schuld daran scheint ein Problem bei der Aushandlung der Größe der MTU (Maximum Transfer Unit) zu sein. Einen Patch für den Patch bietet Microsoft nur auf direkte Anfrage an. Mit dem Security-Update MS05-019 gab es bereits zuvor Probleme, die Microsoft im Knowledge-Base-Artikel 890345 beschreibt.

Quelle und Links : http://www.heise.de/newsticker/meldung/58949

[SiLæncer]

Microsofts Update 893066 (MS05-019) zum Schließen der Sicherheitslücken im TCP/IP-Stack beschränkt zusätzlich die Möglichkeit, so genannte Raw Sockets einzusetzen. Über Raw Sockets kann ein Programm IP-Pakete beliebig zusammenbauen und so etwa halboffene Verbindungen für Syn-Flooding aufbauen oder Absenderadressen manipulieren. Unter anderem benutzen Schädlinge dies für Angriffe, aber auch nützliche Netzwerk-Tools wie der Portscanner nmap greifen darauf zurück.

Bereits mit der Einführung von Service Pack 2 für XP war die Nutzung solcher Sockets standardmäßig nicht mehr möglich. Allerdings fanden sich bald Tricks, um die Restriktionen zu umgehen. Wie heise Security schon im November letzten Jahres berichtete, funktionierte der Zugriff nach der Eingabe von

net stop SharedAccess

wieder. Leider deaktiviert der Befehl auch die eingebaute Firewall.

Mit dem neuesten Patch geht der Zugriff auf Raw Sockets abermals verloren -- auch wenn man die Firewall abschaltet. Der Entwickler von nmap, Fyodor, verschafft seinem Unmut über Microsofts Vorgehen in der nmap-hackers-Mailingliste Luft und zieht Vergleiche mit sehr viel früheren Versuchen der Redmonder, bestimmte Funktionen einzuschränken. Beispielsweise ließ sich eine Windows-NT-Workstation durch einen Registry-Eintrag zu einem vollwertigen Server aufrüsten.

Das Blocken von Raw Sockets ist die dritte zusätzliche Änderung des letzten Updates, die die Funktionsweise von Windows manipuliert. Schon vergangene Woche waren zwei Änderungen bekannt geworden, nach der in einigen Netzwerken die Verbindungen nicht mehr störungsfrei liefen. So verringerte sich durch das Ändern der Window Size der Netzwerkdurchsatz im schlimmsten Fall auf ein Viertel. Zudem führte ein neuer Registry-Key zu Problemen bei der Kommunikation zwischen Client und Server. Zwar wies Microsoft schon im Bulletin MS05-019 auf mögliche Probleme bei der Installation des Updates hin, wer allerdings seine Systeme über den empfohlenen Auto-Update aktualisiert, wird solch ein Bulletin eher selten zu Gesicht bekommen.

Quelle und Links : http://www.heise.de/newsticker/meldung/58977