Kerio PF 4 Final draußen! / neuer Bug in 2.1.5!

#16 Nix behoben.
Ich habe mich bewußt nicht an den Betreiber von www.ce-infosys.com.sg gewandt. Dann machen die ja meinen schönen Test kaputt ;-)
Ich hatte auch überlegt, ob ich das überhaupt publik machen soll.

drwtsn32.log:
=============

Anwendungsausnahme aufgetreten:
Anwendung: C:\Programme\Kerio\Personal Firewall\persfw.exe (pid=228)
Wann: 24.08.2003 @ 20:53:15.768
Ausnahmenummer: c0000005 (Zugriffsverletzung)

*----> Systeminformationen <----*
Computername:
Benutzername: SYSTEM
Terminalsitzungskennung: 0
Prozessoranzahl: 1
Prozessortyp: x86 Family 6 Model 11 Stepping 1
Windows-Version: 5.1
Aktuelles Build: 2600
Service Pack: 1
Aktueller Typ: Uniprocessor Free
Firma:
Besitzer:

*----> Taskliste <----*
0 System Process
4 System
484 smss.exe
548 csrss.exe
572 winlogon.exe
616 services.exe
628 lsass.exe
788 svchost.exe
856 svchost.exe
948 svchost.exe
1152 spoolsv.exe
1224 svchost.exe
1260 netdde.exe
1300 AVGUARD.EXE
1316 AVWUPSRV.EXE
1344 cfservice.exe
1372 nvsvc32.exe
1456 locator.exe
2008 Explorer.EXE
388 SpeedMgr.exe
408 AVGNT.EXE
416 nopopup.exe
424 Mozilla.exe
440 NetMeter.exe
468 getright.exe
520 VtlAgent.exe
228 persfw.exe
1596 notepad.exe
1336 drwtsn32.exe

...

Wir sind doch hier nicht naiv. Wir wissen doch, dass wir auf Grund irgend eines Firewallprogramms und eines Virenscanners keinerlei Sicherheit auf einem PC erwarten dürfen ;-)

Es gibt in der Technik den Spruch: Qualität und Zuverlässigkeit kann man nicht nachträglich in ein Produkt hinein messen oder prüfen. Das muß von Grund auf hinein konstruiert werden.

Ich helfe mir so:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv]

"AlwaysSecure"=dword:00000001
"ErrPopup"=dword:00000001


Und mit der Anweisung, den KERIO-Dienst in jedem Fall nach einer Minute neu zu starten.
Dann ist eben eine Minute Funkstille, sonst wohl nichts.


Gruß tonne

#17 Können denn auch andere Outpost-Benutzer (neben ZeroFX) das Problem bestätigen? Das wär ja schon ein Ding...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#18 Also meine verabschiedet sich nicht.
Kpf 2.15
W2K SP4
Mozilla 1.4
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#19

Zitat

tonne postete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fwdrv]

"AlwaysSecure"=dword:00000001
"ErrPopup"=dword:00000001

Und mit der Anweisung, den KERIO-Dienst in jedem Fall nach einer Minute neu zu starten. Dann ist eben eine Minute Funkstille, sonst wohl nichts.

@tonne: großes Lob für den ausführlichen Bericht / Fehlersuche!!
woher hast du eigentlich die Insiderinfos z.B. Restart des Drivers nach 1 min...

versuche gerade auch einige Daten mitzuloggen um überhaupt zu begreifen was da nun überhaupt passiert!
falls es mehr Infos gibt, sollte man ein neues Thread mit einer Zusammenfassung aufmachen..
freu mich über weitere News!

#20 Ja, wirklich beachtlich, dass es so einige Cracks gibt! ;-) Danke! :-)

Man muss sich mit einer Materie wohl sehr intensiv auseinandersetzen um immer auf dem neusten Stand zu bleiben.

Ich blocke FTP-Zugriffe übrigends grds. mit 2.1.5 und gebe ein Warnhinweis aus. Dabei schmiert sie nicht ab.

Zitat

Wir sind doch hier nicht naiv.

Ich habe ehrlich gesagt gar nichts kapiert. Zumindest inhaltlich nicht. Also, sie schmiert ab, aber warum?????????

#21 Leider ist mein Wissen nicht so tief, dass ich anhand der Netzwerkpakete hätte sehen können, was da schiefläuft. Das einzige was ich gesehen habe, ist das da ein Microsoft-Server am anderen Ende sitzt:

230 Logged in via Proxy, use now quote site <remote-ftp-server> to continue.
SITE 203.81.46.131
220 securestorage Microsoft FTP Service (Version 5.0).
USER anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
PASS (hidden)
230 Anonymous user logged in.
SYST
215 Windows_NT version 5.0

Vielleicht hilft das ja jemandem beim Klären des Fehlers.

#22 Was macht denn "ErrPopup" genau?

Und was meinst du mit nach einer Minute neu starten? Über das BS gesteuert? In der KPF kann ich doch dazu nichts einstellen, oder?

#23 "ErrPopup"=dword:00000001 steht schon so in der Registry. Ich hatte gehofft, dass die Sache bei 0 völlig "geräuschlos" ohne Meldung und OK über die Bühne geht, z.B. bei Servern. Ist aber wohl leider nicht so.

Dienste bearbeiten (der lange Weg):
Start > Systemsteuerung > Leistung und Wartung > Verwaltung > Dienste > Kerio ... > Doppelklick (Eigenschaften) > Wiederherstellen > "Dienst neu starten" (3 mal)... oder so ähnlich.

#24 Habes nochmal versucht: Diesesmal mit Ftp-Client "Filezilla".
Läuft alles ohne Probleme oder Abstürze. Hat jemand das mal mit ethereal aufgezeichnet und abgespeichert ? Mir bitte schicken. würde da wirklich mal gerne nen Blick reinwerfen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#25 Hi Joschi,

hab Dir die Aufzeichnung an Deine email geschickt. Vielleicht
wirst Du ja schlauer draus.

#26 Hm, also hab hier Tiny 2.0.15a auf W2K Sp4 und auch keine Probs !

Aber wie es scheint hängt es mehr oder weniger doch mit WinXP zusammen.

MfG abbi

#27 Falls noch jemand die Ethereal-Aufzeichnung haben möchte, sagt einfach bescheid... würde ja doch ganz gern wissen, warum eine einfache ftp-verbindung die Firwall zum Absturz bringt...

#28 schick mir bitte mal das log...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#29 Ihr könnt ja in einen öffentlichen Board in aller Ruhe recherschieren,das könnte in den USA schlimm ausgehen

http://www.securityfocus.com/columnists/179

Übrigens eine sehr interessante Entdeckung tonne.
Bin auch neugierig was dabei herauskommt.

Gruß
Ajax

#30 Jeder kann sich das Protokoll der Ftp-Sitzung hier anschauen.

In Zeilte 31 erfolgt ein FIN ACK, nur....wo ist das einleitende FIN abgeblieben. ?
@Buchhalter: Verwendest Du diesen Registryeintrag, dem zufolge die Internetverbindung quasi unterbrochen wir, wenn Kerio abstürzt ?
__________
Durchsuchen --> Aussuchen --> Untersuchen