Sicherheitslücken in der Scan-Engine von Symantec

Rapid7 hat drei Schwachstellen in der Scan-Engine von Symantec beschrieben. Bei der Scan-Engine handelt es sich um ein eine Server-Software, deren Virensuchfähigkeiten andere Hersteller nutzen können, um nach Schädlingen suchen zu können.

Die erste Sicherheitslücke erlaubt es Angreifern aufgrund einer konzeptionellen Schwachstelle im Authentifizierungsmechanismus der Web-Verwaltungsoberfläche, volle Kontrolle über den Server zu erlangen. Statt das Java-Applet der Web-GUI zu benutzen, genügt es direkt über XML-Anfragen mit dem Server zu kommunizieren. Dann verzichtet der Server auf die Passwort-Überprüfung.

Auch die zweite Lücke beruht auf einer Design-Schwäche. Für die SSL-Verschlüsselung einer Verbindung nutzt die Scan-Engine nämlich nur einen privaten Schlüssel, unabhängig von der Installation. Der lässt sich leicht extrahieren und beispielsweise für klassische Man-in-the-Middle-Angriffe missbrauchen.

Die dritte Schwäche erlaubt es, auf alle Dateien unterhalb des Installationsverzeichnisses des Servers zuzugreifen, etwa die Konfigurationsdateien.

Ein Update der Scan-Engine auf Version 5.1.0.7 soll alle drei Probleme beseitigen. (adb)