HP warnt vor Schwachstellen im Web Management für PCs

HP hat ein Security Advisory herausgegeben, das vor einer potenziellen Schwachstelle im webbasierten Management warnt. HP/Compaq liefert Server, Desktops und Notebooks mit einer zusätzlichen Software aus, die die Konfiguration und Abfrage des Systems über einen Browser ermöglicht. Üblicherweise läuft dazu auf Port 2301 ein Webserver.

Nutzt ein Angreifer den nun gemeldeten Fehler aus, kann er diesen Dienst zum Absturz bringen oder seine Zugriffsrechte auf das System erweitern. Details führt HP in dem Advisory nicht auf, es könnte sich aber um eine seit August bekannte Schwachstelle handeln, bei der man mit einem manipulierten GET-Request beliebigen Code in das System einschleusen konnte. Allerdings ist eine vorherige Authentifizierung notwendig, um die Lücke auszunutzen, des Weiteren darf der Zugriff nicht über SSL erfolgen.

Betroffen sind jeweils nur die Windows-Versionen des Insight Management für Clients 3.5 bis 5.0, der Remote Diagnostics Enabling Agent und Insight Manager LC 1.00 bis 1.60. HP empfiehlt dringend, verwundbare Versionen abzuschalten. In dem Advisory ist beschrieben, wie man herausfindet, ob man betroffen ist und wie man den Dienst deaktiviert. Ein Patch steht vorerst nicht zu Verfügung.

Siehe dazu auch: (dab)

• Security Advisory von HP