Inventar-Datenbank mit offenen Konten
Die Discovery-Software von Symantec erstellt zwei administrative Konten in ihrer Inventardatenbank, die nicht durch Passwörter abgesichert sind.
Die Inventarisierungssoftware Discovery von Symantec erstellt zwei administrative Konten in ihrer Inventardatenbank, die nicht durch Passwörter abgesichert sind. Verschärft wird das Problem dadurch, dass nach Vergabe von Passwörtern für die Konten die Software nicht mehr läuft. Symantec erläutert nicht näher, was ein Angreifer mit einem Zugang anrichten könnte, vermutlich ließen sich jedoch die Inventarlisten beliebig manipulieren. Es bleibt ebenfalls offen, ob es sich um einen Designfehler oder eine Unachtsamkeit in der Implementierung handelt.
Die Accounts mit den Namen DiscoveryWeb und DiscoveryRO werden ohne Passwort angelegt. Um das DiscoverWeb-Konto mit Passwort zu schützen, bietet das Unternehmen Updates an. Da das DiscoveryRO-Konto nur von der heat-Schnittstelle benutzt wird, empfiehlt Symantec, diesen Zugang zu löschen. Hierfür stellt der Hersteller automatisierte Skripte bereit. In der Sicherheitsmeldung sind die Updates für die betroffenen Software-Versionen ON Command Discovery 4.5.x sowie Symantec Discovery 6.0 verlinkt.
Siehe dazu auch: (dmk)
- Security Advisory von Symantec
