zurück zum Artikel

Mehrere Sicherheitslücken in HPs Server-Verwaltung Insight Diagnostics

Kristina Beer

Kombinieren Angreifer die Lücken, können sie beliebigen Code auf den Servern ausführen. Ein Fix ist noch nicht in Sicht.

Gleich mehrere Sicherheitslücken lauern [1] in HPs Server-Verwaltung Insight Diagnostics. Werden die Lücken miteinander kombiniert, können Angreifer beliebigen PHP-Code mit Administratorrechten auf den Servern ausführen. Bisher ist kein Patch für die Schwachstellen vorhanden.

Die Sicherheitslücken (CVE-2013-3574, CVE-2013-3573 und CVE-2013-3575) betreffen die Version 9.4.0.4710 und vermutlich frühere Versionen des Tools. Die Schwachstellen wurden von Markus Wulftange, einem Mitglied des Offensive-Security-Teams der Daimler TSS, gefunden und gemeldet.

Da es bisher keinen Fix gibt, rät das US-CERT, ab sofort nur Verbindungen von vertrauenswürdigen Hosts und Netzwerken zu erlauben. (kbe [2])


URL dieses Artikels:
https://www.heise.de/-1886298

Links in diesem Artikel:
[1] http://www.kb.cert.org/vuls/id/324668
[2] mailto:kbe@heise.de