Kritische Lücke in Symantec Enterprise Security Manager behoben

Ein Update für den Symantec Enterprise Security Manager (ESM) behebt eine kritische Schwachstelle, über die Angreifer unter Umständen übers Netz die vollständige Kontrolle über ESM-Systeme erlangen können. Laut Fehlerbericht sind die Agents aller ESM-Versionen vor 6.5.3 auf nahezu allen Betriebssystemplattformen von dem Programmierfehler in der Funktion für Netzwerk-Upgrades betroffen. Lediglich die ESM-Agents für NetWare, OS/400 und OpenVMS sind nicht verwundbar, weil sie kein Remote-Upgrade unterstützen.

Grund für das Problem ist laut Hersteller, dass die Upgrade-Funktion nicht überprüft, ob die ihr angebotenen Updates aus einer vertrauenswürdigen Quelle stammen. Infolge dessen können Angreifer mit Netzwerkzugang zu einem ESM-Agent-Rechner mit Hilfe eines manipulierten Update-Paketes einen Pufferüberlauf provozieren. Dieser soll sich zum Einschleusen von beliebigem Schadcode nutzen lassen, den ein verwundbarer ESM-Agent mit Administratorrechten ausführt.

Symantec rüstet mit einem so genannten Signature Fix für die Versionen 6.5.x, 6.0 und 5.5 einen Signatur-Check für Netzwerk-Upgrades nach, der gewährleisten soll, dass die nachgeladenen Pakete von Symantec oder einem vertrauenswürdigen Dritten stammen und nicht von einem Angreifer manipuliert wurden. Den Pufferüberlauf behebt der Fix offenbar nicht. Admins, die noch nicht die fehlerbereinigte Version 6.5.3 einsetzen, sollten den Signatur-Fix umgehend einspielen oder auf die neueste Version aktualisieren. Zur Wahrung der Kompatibilität mit den neuen Agents müssen laut Symantec auch die ESM-Manager aktualisiert werden, obwohl sie nicht von dem Problem betroffen sind.

Siehe dazu auch:

• Symantec Enterprise Security Manager Remote Upgrade Authentication Bypass, Advisory von Symantec

(cr)