Microsoft warnt vor Lücke in Windows 2000 & 2003

Windows Microsoft hat in der letzten Nacht ein so genanntes Security Advisory veröffentlicht, dass vor einer gefährlichen Sicherheitslücke in den Betriebssystemen Windows 2000 und Windows Server 2003 warnt. Die Lücke wird bereits aktiv ausgenutzt. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
zum Glück isses in XP net, obwohl es genau zwischen Win2000 und 2003 is
 
@sibbl: XP hat ja auch keinen DNS-Serverdienst :-)
 
@sibbl: Weshalb sollte Microsoft auch einen DNS Server-Dienst auf einem Client Betriebssystem implementieren?
 
@bloodygod: Laut den News geht es hier um den Win2000 Client und Windows Server 2003. Oder ist eigentlich der Win2000 Server gemeint ?
 
@S3th: Server.
 
Mich wundert es nur, das Microsoft jetzt erst damit rauskommt.
 
@The UrbanChaos: Die leute jammern immer zu über die unsicherheit von microsoft produkten! aber versuch mal ein programm dass die "ganze" welt nutzt so sicher zu machen dass kein hacker eine chance hat! die leute meinen immer dass linux viel sicherer ist als windows, dem ist aber ganz und gar nicht so! linux ist eigentlich viel unsicherer als windows. nur dass es nicht so viele menschen nutzen!
Soviel zu dem
 
"Der DNS-Serverdienst ist standardmäßig nicht aktiv, so dass die Gefahr verhältnismäßig gering ist. " __> das ist ja wohl ein Witz oder? Ein Windows 2003 Server ohne aktiviertem DNS Serverdienst, hat wohl kaum ein Unternehmen, dass heißt die Lücke ist gefährlich.
 
@castor: Und was ist, wenn ich BIND benutze?
 
@castor: Ich denke du versteht nicht den Unterschied zwischen DNS-Server-Dienst und DNS-Client-Dienst... In einem Unternehmen stehen ca. 5% AD bzw. DNS-Server. Also ist für ca. 95% der Memberserver des Unternehmens tatsächlich keine Gefahr da!
 
@bloodygod: Aber einer der essentiellsten Server - der DC - hat nun mal in allen kleineren und vielen mittleren Installationen einer Active Directory den DNS-Server laufen. Und wenn du den im Griff hast kannst du den Rest ohne Probleme einnehmen (brauchst ja nur nen Account im AD einrichten mit z.B. DomainAdmin-Rechten). @goa-inge: Die Anzahl der BIND-Installationen für ein AD sind nicht arg groß...
 
@Lofote: da hast du auch wieder Recht! Trotzdem kann kein direkter Angriff der Memberserver stattfinden. Und du musst immer noch herausfinden welcher Server der AD Server ist. Eventuell durch einen Portscan, was in guten Unternehmen allerdings geloggt werden sollte.
 
@castor: Ein Unternehmen, dessen interner Windows DNS von außen erreichbar ist, das hat ganz andere Probleme als diese Lücke.
 
@all, was quatscht ihr denn so, wieviele mittelgroße Unternehmen haben nen DNS, der auch von aussen erreichbar sein muss. Es reicht da z.B. schon im internen Netzwerk ein Mailserver, der von aussen per Name ansprechbar sein soll.
 
Langsam könnte ich mich über Microsoft amüsieren...

Als Windows XP rauskam, gab es in Windows 9x/Me und glaube ich Windows 2000 auch irgendeine sehr gefährliche Sicherheitslücke, die aber nicht gefixt wird...

Sollte mich diese Sicherheitsmeldung jetzt überraschen? Nein - ich habe auf so eine gewartet! :)
 
@draco.bdn: Falls Du darauf anspielst, dass diese Sicherheitslücke bewusst bekannt gegeben / nicht gefixt werden sollte, damit man Vista kauft, muss ich Dich leider enttäuschen: Diese Sicherheitslücke tritt nur in den _SERVER_-Betriebssystemen auf. Und Longhorn Server ist auch noch nicht draußen. Myth BUSTED! :P
 
@draco.bdn: Och... du weißt schon was ich meine... :)

Man kann ja die Firmen schon mal heiß machen :D
 
In kleinen Unternehmen die AD einsetzen ist der Dienst logischerweise immer aktiv, also ist die Gefahr die von der Lücke ausgeht doch eher größer, als MS hier zugeben will. In größeren Firmen hat bestimmt nicht jeder Server den DNS-Server Dienst am laufen, was es aber nicht grundlegend besser macht ^^.
 
@Diapolo: Stimmt allerdings Ohne DNS Server geht gar nix und dann wird eben meist der vom W2k oder 2003 verwendet. In kleinen NEtzen ist der DC meist auch DNS.
 
@Diapolo: Wieso große Gefahr? Hast du deinen DNS-Server im Internet veröffentlicht? Und wieviel % deiner Mitarbeiter haben das Know-How einen Exploit im firmeneigenen Netzwerk auszuführen?
 
Key angelegt - Wert gesetzt - DNS-Serverdienst neu gestartet ... und keiner hats gemerkt. Also schwerer Fehler, leichter Fix. So sollte es öfter sein.
 
@DennisMoore: Weisst du überhaupt welche Auswirkungen das setzen dieses Keys hat? Das reibungslose laufen eines Server hängt auch wesentlich vom funktionieren des RCP-Dienstes ab. Kannst du den Server jetzt noch remote verwalten? So leichtfertig hätte ich den Key nicht gesetzt...
 
@DennisMoore: Na dann weis ich ja jetzt, dass du nur in einer kleinen Klitsche arbeitest, wenn du die RPC Funktionalität nicht mehr benötigst, siehe: "Remote management and configuration of DNS server functionality using RPC or WMI will be disabled. DNS management tools, will fail to work remotely.
 
Es ist ein schwerer Irrtum zu glauben, das nur Windows 2000 und Windows Server 2003 Systembenutzer betroffen sein können. Umgekehrt wird eine sinnvolle Mitteilung daraus: Die Möglichkeit Windows 2000 und Windows Server 2003 DNS Dienste "fernzuwarten", auch wenn dies durch bösewillige Dritte geschieht, kann jeden gefährden, der zufälligerweise einen Windows DNS Namensauflösungsserver benutzt. Das heißt ja nicht, das man so einen Microsoft DNS selbt laufen haben muß, aber jeder Internet Benutzer benutzt normalerweise einen Namensauflösungsserver, wenn das ein Microsoft DNS sein sollte: Pech gehabt! (Die DNS Namensauflösungsserver, die ich benutze, rennen Gottseidank unter Solaris) Aber hat die Telekom (oder "T-Online, hieß das so?) nicht so einen verhängnisvollen Drang zum Sicherheitslücken-Weltmarkführer? Gruß, Fusselbär
 
Ist davon auch WindowsXP x64 SP-2 (basiert ja auf Windows 2003) betroffen?
 
@misteranwa: bietet aber entgegen der Server-Version keinen DNS _Server_ Dienst.
 
Alles klar, danke für die Auskunft. Beschäftige mich noch nicht sehr lange mit WinXP x64.
 
Also hat denn hier überhaupt keiner Ahnung ?

1. Wenn ein Unternehmen einen DNS-Server von außen erreichbar macht, dann ist das wohl üblicherweise so, dass dieser entweder in einer DMZ steht oder tatsächlich innen. Auf jeden Fall ist hier dann ledlich Port 53 (für DNS) veröffentlicht und nicht der RPC-Port für das Management. Von Aussen muss der ja wohl nicht gemanaged werden.

2. Ein solcher DNS-Server ist dann auch GANZ SICHER kein DC

3. Wenn die Telekom tatsächlich DNS-Server unter Windows betreibt, dann könnt ihr sicher sein, dass diese über das Internet kein RPC gepublished haben :)

4. WENN RPC von einem Unternehmen tatsächlich ins Internet freigegeben ist (z. B. Port 135) dann verwendet man dafür üblicherweise einen Application-Filter in der Firewall. Dieser stellt sicher, dass da wo RPC draufsteht auch RPC drin ist.

Ihr seht also, wenn man sich ein bischen an die heute üblichen Sicherheitsstandards hält (und diese versteht) dann muss man sich nicht bei jeder Meldung gleich einen Bollen in die Hose machen....

Nice Day!
 
Hmmm... auf meinem Server gibt es in der Registry nur DNSCache, aber nicht DNS?!
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte