l+f: Kritische Lücke in Überwachungs-Software für kritische Systeme
Über einen Bug in Symantecs Server-Überwachungs-Software können Angreifer den Systemen beliebige Dateien unterjubeln und diese ausführen.
Lesezeit:
1 Min.
Bei der Server-Überwachungs-Software Critical System Protection von Symantec kann man sich ohne weitere Authentifizierung als Client anmelden. Was unspektakulär klingt, birgt durchaus Gefahrenpotential, denn aufgrund eines Directory-traversal-Bugs könne man eigenen Code einschleusen und ausführen, berichten die Entdecker der Lücke in ihrem Blog.
Symantec hat bereits im Januar einen Patch zur Verfügung gestellt, Details zur Schwachstelle haben die Entdecker aber erst kürzlich veröffentlicht.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(des)
