HCL BigFix: Kryptografische Schlüssel offensichtlich nicht sicher gespeichert
Wichtige Sicherheitspatches schließen zwei Softwareschwachstellen in der Endpoint-Management-Plattform HCL BigFix.
(Bild: Tatiana Popova/Shutterstock.com)
Zwei Sicherheitslücken gefährden HCL BigFix zum Verwalten von Endpoints. Sind Attacken erfolgreich, können Angreifer auf sensible Daten wie kryptografische Schlüssel zugreifen. Sicherheitspatches sind verfügbar.
Verschiedene Gefahren
Videos by heise
In einer Warnmeldung führen die Entwickler zwei Sicherheitslücken (BigFix Explorer: CVE-2026-21765 „hoch“, BigFix Server: CVE-2026-21767 „mittel“) auf. Die erste Schwachstelle betrifft die Speicherung von kryptografischen Schlüsseln auf Windows-PCs. Der Beschreibung zufolge sind sie „möglicherweise mit zu großzügigen Dateisystemberechtigungen“ versehen. Was das konkret bedeutet, bleibt unklar. Es ist davon auszugehen, dass Angreifer unbefugt auf die Schlüssel zugreifen können.
Die zweite Lücke ist ein Authentifizierungsfehler, durch den Angreifer Zugriff auf „sensible Bereiche der Anwendung“ bekommen können. Die Entwickler versichern, beide Sicherheitsprobleme in BigFix Platform 11.0.6 gelöst zu haben.
(des)
