Sicherheits-Update für Sicherheits-Tool Nessus

Die jüngst freigegebene Version 2.0.6 des Netzwerksicherheits-Scanners Nessus behebt unter anderem einen Fehler, der es Benutzern erlaubt, beliebigen Code mit Root-Rechten auszuführen.

Das Open-Source-Projekt Nessus ist ein Client-Server-System zur Sicherheitsüberprüfung von Netzwerken. Es enthält eine eigene Skript-Sprache, in der sich Prüfungen von Sicherheitslücken programmieren lassen. Diese Skripte laufen in einer gesicherten Umgebung auf dem Server ab (Sand-Box). Unter gewissen Bedingungen können Angreifer mehrere Fehler in älteren Versionen des Skript-Interpreters ausnutzen, um ihr Plugin aus der Sand-Box ausbrechen zu lassen und dann beliebigen Code mit Root-Rechten auf dem Nessus-Server auszuführen.

Allerdings brauchen sie dazu einen Nessus-User-Account auf dem Server und außerdem das Recht, Plugins zu installieren. Der Nessus-Server unterbindet dies in den Default-Einstellungen. Die Entwickler des Tools empfehlen dennoch dringend ein Upgrade auf die aktuelle Version 2.0.6. (je)