Kritische Lücken: HP Data Protector verzichtet auf Authentifikation
Angreifer können den HP Data Protector über verschiedene Schwachstellen in die Mangel nehmen und Code auf Computer schieben. Sicherheits-Updates unterbinden das.
![Cyberkriminalität](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/1/7/9/8/2/9/1/urn-newsml-dpa-com-20090101-160201-99-385238_large_4_3-ca43690857bb4d9c.jpeg)
(Bild: dpa, Julian Stratenschulte)
Die Backup-Anwendung HP Data Protector authentifiziert selbst mit aktivierter verschlüsselter Kommunikation Nutzer nicht. Zudem greifen alle Installationen von HP Data Protector auf einen identischen privaten SSL/TLS-Schlüssel zurück, warnt HP.
Insgesamt klaffen sechs Lücken in den Version 7, 8 und 9 der Backup-Anwendung für HP-UX, Linux und Windows. Vier davon sind mit dem höchsten CVSS Base Score 10/10 als kritisch eingestuft. Die abgesicherten Versionen 7.03_108, 8.15 und 9.06 stehen zum Download bereit.
Aufgrund der fehlenden Authentifizierung können sich Angreifer auf Systeme schleichen und aus der Ferne Code ausführen. Zudem sind Man-in-the-Middle-Angriffe vorstellbar. (des)