CA warnt vor zwei Jahre alter Lücke
Durch eine zwei Jahre alte Directory-Traversal-Schwachstelle im Unicenter Web Services Distributed Management 3.1 kann ein Angreifer ein System ausspionieren.
Computer Associates warnt in einem aktuellen Fehlerbericht vor einer zwei Jahre alten Directory-Traversal-Schwachstelle im Unicenter Web Services Distributed Management 3.1 (WSDM), mit der Angreifer einen Server ausspähen können. Laut Bericht liegt der Fehler in der fehlenden Prüfung der Pfade durch den integrierten Webserver Jetty begründet. Damit ist der komplette Zugriff auf das Dateisystem möglich:
http://server:8282/..\..\..\..\boot.ini
Abhilfe schafft ein Upgrade auf die Version 3.11.
Warum CA diesen Fehler erst jetzt meldet, lässt sich nur vermuten. Dem Anschein nach blieb dem Hersteller über zwei Jahre verborgen, dass der Open-Source-Webserver Jetty, der auch in anderen Produkten eingesetzt wird, in WSDM ein Problem hat. Beim Upgrade von 3.1 auf 3.11 setzte man dann wohl eine fehlerbereinigte Version von Jetty ein. Erst nachdem CA von Symantec-Spezialisten informiert wurde, die kürzlich über die Lücke stolperten, veröffentlichte der Hersteller die Warnung. Betroffen ist WSDM auf Red Hat, Solaris, Suse und Windows.
Siehe dazu auch: (dab)
