Zur Zeit wird gefiltert nach: IT-Service
Filter zurücksetzen

20.11.2008
11:17

ilexius supports development of UltraVNC Single Click for Vista with UAC support

ilexius GmbH not only uses Open Source Software, but we try to donate some work to the community in return. For remote support of our customers we created a UltraVNC SC version working with Vista's UAC and would like to share our results with the community.

What is UltraVNC SC?

UltraVNC SC is a packed version of UltraVNC Server that can be customized and preconfigured for download by a customer.

As the current build of UltraVNC supporting Vista is not available as Single Click version, some people started to build their own SC versions. One of them, discussed here: forum.ultravnc.info/viewtopic.php, uses the standard version of UltraVNC and launches it using an AutoIt script.

No support of UAC and a fix for it

One big problem of this version is lack of support for Vista's UAC. As soon as the UAC dialog pops up the viewer is disconnected.

We changed the AutoIt script a little bit to support interaction with the UAC dialog. UltraVNC is now installed as a service and this service is started automtically and connects to the listening viewer. The script remains running minimized as a tray icon and uninstalls the service and removes all files after closing it.

One problem remaining is, that the script needs to be run with administrator privileges to install the service. At the moment I do not see a way around this, because I think UltraVNC needs to run with SYSTEM privileges to access the UAC screen session. It should be possible to build a version without UAC support that runs without admin access.

Download

We would like to share our knowledge with all others so you can download the customizable UltraVNC SC package here:

UltraVNC-SC-1.0.5-V1.1.zip

10.07.2008
11:31

Keine Internetverbindung nach Windows Update (KB 951748)

Heute stand das Telefon nicht still, bei einigen unserer Kunden kam es zu einem Problem mit dem Microsoft Update KB951748 in Verbindung mit Zonealarm. Durch das Update von Microsoft, das eine Schwachstelle in dem DNS Protokoll behebt, wurden die Nutzer von Zonealarm aus dem Internet "ausgesperrt".

Lösung war ein deaktivieren der Firewall bzw. ein zurückstellen der Sicherheitsstufe für das Internet auf "Mittel". Alternativ wurde das Entfernen des Patches von Microsfot empfohlen. Naja, das ist auch eine Lösung...

Mittlerweile ist aber eine aktuelisierte Version der  Firewall-Software von Zonelabs verfügbar, die das Problem behebt.

openSSL-Schlüssel testen auf Heise-Security

Heise bietet unter www.heise.de/netze/tools/chksslkey einen SSL-Check an. Serverbetreiber können mit diesem Tool testen, ob die verwendeten Schlüssel von der Sicherheitslücke in openSSL betroffen sind und notfalls die verwundbaren Schlüssel austauschen.

openSSL-Schlüssel-Test mit individuellem Port

Heise bietet dabei die Möglichkeit neben den Standardsports für verschlüsselte Verbindungen auch individuell eingerichtete Ports zu testen.

Mit diesem individuellen Konfigurationstest ist der openSSL-Schlüssel-Test von Heise ist ein effizientes und nützliches Tool für alle Serverbetreiber. Vor allem spart es Zeit und Mühe, da alleine das Eingeben der entsprechenden Domain genügt, um auf Nummer sicher gehen zu können. 

Kunden von Hosting-Anbietern können openSSL-Lücke testen

Kunden von Webhostern können auf diese Weise auch testen, ob Ihr Anbieter auf die Schwachstelle in openSSL bereits reagiert hat, oder ob die Gefahr besteht, dass eigentlich sichere Kommunikation ohne großen Aufwand abgehört werden kann.

Sicherheitslücke in Debian openSSL

In der Linux-Distribution Debian (u. a. auch Grundlage auch für [K,X,Edu]Ubuntu) wurde eine schwerwiegende Sicherheitslücke entdeckt. Eine Zeile auskommentierter Code führt dazu, dass die zufällig generierten Schlüssel nicht mehr ganz so zufällig sind. Entsprechend sind die generierten Schlüssel berechenbar und können bereits von Servern im Internet heruntergeladen werden. Dies ermöglicht Angriffe auf Server und die Kompromittierung dieser Systeme.

Betroffen sind Schlüssel und Zertifikate ab der Version, 0.9.8c-1 von openSSL das seit dem 17.09. 2006 in der "unstable"-Version von Debian Etch eingesetzt wurde.

Hintergrundinformationen bietet auch dieser Artikel zur openSSL-Schwachstelle bei Heise.

Was ist nun zu tun?

Aus Sicherheitsgründen sind alle Schlüssel aus dieser Zeit zu ersetzen. In dem aktualisierten Paket der openSSL-Software sind neben der Fehlerbehebung auch Test-Skripte enthalten, die feststellen können, ob die Schlüssel von der Schwachstelle betroffen sind. Allerdings sind auch diese Skripte noch nicht vor falschen Ergebnissen gefeit.

Ein weiteres Problem ist, dass auch Schlüssel auf anderen Rechnern und Betriebssystem möglicherweise von dieser Schwachstelle betroffen sind. Es ist durchaus möglich, dass Schlüssel auf einem Debian-System erzeugt wurden und diese nun auf Windows-Systemen oder anderen Linux-Distributionen im Einsatz sind.

Daher sollten alle Schlüssel, bei denen die Herkunft nicht vollständig sicher ist, auf diese Schwachstelle hin überprüft werden.

Damit die Schlüssel in Zukunft nicht verwendet werden können, müssen vorhandene Autorisierungsdateien (authorized_keys) ersetzt bzw. neu erstellt werden.

Insgesamt ein ernstzunehmendes Problem, für Fragen stehen wir gerne zur Verfügung!

13.05.2008
11:39

Windows XP SP 3

Windows Service Pack 3 installieren oder nicht?

Microsoft hat das dritte und wahrscheinlich letzte Service Pack für Windows XP veröffentlicht. Nun stellt sich die Frage, ob eine Installation zu empfehlen ist oder auf Grund von Kompatibilitätsproblemen erst noch abgewartet werden sollte.

Derzeit wird das Update nur manuell über die Windows-Update-Seite installiert und noch nicht per automatischer Updates verteilt. Somit ist noch die Möglichkeit gegeben, individuell zu entscheiden, ohne dass man sich aktiv gegen die Updates „wehren“ muss.

Das SP3 nicht installieren sollten Nutzer des Microsoft Dynamics Retail Management System. Derzeit rät Microsoft selbst noch dazu zu warten, bis ein Hotfix für eine bekannte Inkompatibilität veröffentlicht wird.

Was bringt SP3 für Windows XP?

Zum einen liefert das Service Pack 3 für Windows XP alle Fehlerbehebungen und Sicherheitsupdates seit dem 2. Service Pack mit insgesamt 1174 Änderungen. Zum anderen gibt es auch einige wenige neue Funktionen.

Weiterhin berichten manche Nutzer von einem Geschwindigkeitsvorteil von ca. 10 %. Bei uns ist subjektiv kein Unterschied festzustellen, aber 10 % liegen wohl auch im kaum auffallenden Bereich bei der täglichen Arbeit. Na ja. Vielleicht kann ich heute Abend ja 10 % früher Schluss machen oder habe 10% mehr erledigt...

Der Download für das Service-Pack3 auf unseren aktuell gehaltenen Systemen belief sich auf 70 MB. Neue Funktionen gibt es nur einige wenige, es handelt sich dabei um folgende (Quelle: Wikipedia)

  • Black Hole router detection

  • Netzwerkzugriffsschutz (aus Vista)

  • Credentials security service provider

  • Descriptive security options control panel

  • Enhanced security for Administrator and Service policy entries

  • Microsoft Kernel Mode Cryptographic Module

  • Windows Produktaktivierung, diese wird umgestellt auf das Vorgehen wie bei Windows Vista. Der Productkey wird erst durch die WGA-Verifizierung überprüft. Bei einem Update über Windows Update ist keine Eingabe des Keys notwendig.

Zusätzlich wird WPA2 für die WLAN-Verschlüsselung nun von Windows unterstützt.

Für Otto-Normal-Nutzer sind dies alles Ergänzungen, die er zumeist nutzt, ohne es zu merken bzw. meist eher nicht nutzen wird.

Probleme mit dem Service Pack 3 von Windows

Insgesamt sind bei uns keine Probleme bei der Installation des Service Packs 3 aufgetreten. Sicherlich bedeutet das nicht, dass es nicht doch zu Problemen kommen kann.

Allerdings hat Microsoft dieses Service-Pack mehrfach verschoben und einer extensiven Beta-Testphase unterzogen. Bei Microsoft werden drei Probleme mit Lösungen veröffentlicht. Diese betreffen unter anderem auch den ATI-Catalyst-Treiber, das könnte somit häufiger zu Problemen führen. Allerdings ist der Fehler nicht schwerwiegend und mit einem aktuellen Treiber zu beheben.

Weiterhin gibt es unter bestimmten Kombinationen „Probleme“ beim Internet Explorer. Hier werden diese Fehler im Microsoft IE-Blog kommentiert. http://blogs.msdn.com/ie/archive/2008/05/05/ie-and-xpsp3.aspx

AMD-CPU ständiger Reboot nach SP3 Installation

Ein weiteres bedeutendes Problem ist bei einigen AMD64-CPUs zu beobachten. Diese booten immer wieder von Neuem, nachdem das Service-Pack 3 installiert wurde. Hier kommt es zu Problemen mit dem Powermanagement-Treiber. Details zu Lösung des Problems eines ständigen Neustarts nach der Installation des SP3.

Fazit zu SP3 für Windows XP

Wir würden das Service-Pack 3 für Windows XP auf aktuellen System installieren. Da es bislang bei uns zu keinerlei Komplikationen im Zusammenhang mit dem Windows SP3 kam, sind die möglicherweise auftretenden Fehler, wohl eher auf individuelle Hardware/Treiber-Kombinationen zurückzuführen und werden dann auch in einigen Wochen noch zu Problemen führen. Einen solchen Fehler stellt auch die beschriebene Reboot-Problematik bei AMD CPUs dar. Dies Tritt nach derzeitigem Kenntnisstand bei OEM-PCs auf, die auf AMD-Systemen ein Image von Windows XP verwenden, dass eigentlich für die Intel-CPUs bestimmt ist.

Einzige Ausnahme stellen Rechner dar, die das Microsoft Dynamics Retail System nutzen. Hier muss auf die Fehlerbehebungen durch Microsoft gewartet werden.

Aktualisierung: Probleme mit SP3 für Windows XP

Derzeit gibt es Meldungen über weitere Probleme nach dem Update von Windows XP mit dem Service Pack 3. Dabei tritt das Problem auf, wenn eine Sicherheitslösung den Zugriff auf die Registry von Windows blockiert. Die Registry wird dabei mit unnötigen und falschen Einträgen voll gestopft. Details finden sich in diesem Thread bei Microsoft.

Berichtet wird von einem leeren Gerätemanager, fehlenden Netzwerkverbindungen und Problemen mit der Sicherheitssoftware.

Die Lösung des Rätsels steckt wohl in der Zugriffsverweigerung durch die Sicherheitssoftware. Entsprechend ist es ratsam diese zu deaktivieren, bevor das SP 3 installiert wird. Eine Lösung für den Fall, dass die Installation des SP 3 schon durchgeführt wurde und die Probleme mit dem Service Pack 3 auftreten gibt es in oben verlinktem Forum.