Bitdefenders Update-Server lässt sich in die Karten schauen

Der Update-Server für lokale Netze von Bitdefender enthält eine Schwachstelle, durch die Angreifer Daten auf dem Server auslesen können.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Lesezeit: 1 Min.
Von

Bitdefender stellt für seine Enterprise-Produkte auch einen Update-Server für lokale Netze bereit. Der enthält eine sogenannte Directory-Traversal-Lücke, durch die Angreifer beliebige Dateien auf dem Server einsehen können, warnt Oliver Karow in einer Sicherheitsmeldung.

Karow zufolge läuft der Update-Server http.exe mit den Rechten LocalSystem. Dadurch lassen sich die Dateien auf dem Server-System mit diesen Rechten auslesen. Als Beispiel zum Auslesen der boot.ini nennt der Autor der Sicherheitsmeldung folgende Kommandozeile: echo -e "GET /../../boot.ini HTTP/1.0\r\n\r\n" | nc

Ein Update für BitDefender Security for Fileservers, den Enterprise Manager und die anderen Produkte, die den Update-Server mitbringen, gibt es bislang noch nicht. Bis Bitdefender aktualisierte Software veröffentlicht, sollten Administratoren solch eines Update-Servers die Clients so konfigurieren, dass sie ihre Updates von den Bitdefender-Servern beziehen, und den lokalen Update-Server deaktivieren.

Siehe dazu auch:

(dmk)