Bitdefenders Update-Server lässt sich in die Karten schauen
Der Update-Server für lokale Netze von Bitdefender enthält eine Schwachstelle, durch die Angreifer Daten auf dem Server auslesen können.
Bitdefender stellt für seine Enterprise-Produkte auch einen Update-Server für lokale Netze bereit. Der enthält eine sogenannte Directory-Traversal-Lücke, durch die Angreifer beliebige Dateien auf dem Server einsehen können, warnt Oliver Karow in einer Sicherheitsmeldung.
Karow zufolge läuft der Update-Server http.exe mit den Rechten LocalSystem. Dadurch lassen sich die Dateien auf dem Server-System mit diesen Rechten auslesen. Als Beispiel zum Auslesen der boot.ini nennt der Autor der Sicherheitsmeldung folgende Kommandozeile: echo -e "GET /../../boot.ini HTTP/1.0\r\n\r\n" | nc
Ein Update für BitDefender Security for Fileservers, den Enterprise Manager und die anderen Produkte, die den Update-Server mitbringen, gibt es bislang noch nicht. Bis Bitdefender aktualisierte Software veröffentlicht, sollten Administratoren solch eines Update-Servers die Clients so konfigurieren, dass sie ihre Updates von den Bitdefender-Servern beziehen, und den lokalen Update-Server deaktivieren.
Siehe dazu auch:
- BitDefender Update Server - Unauthorized Remote File Access Vulnerability, Sicherheitsmeldung von Oliver Karow auf Full Disclosure
(dmk)