heise PlusAbo
Anzeige
Alert!

Defekter Sicherheitspatch für HCL BigFix Server Automation repariert

Angreifer können HCL BigFix SA per DoS-Attacke abschießen. Ein überarbeitetes Sicherheitsupdate soll das Problem nun lösen.

vorlesen Druckansicht
Brennendes Laptop vor Servern, die das Laptop überwacht

(Bild: Bild erstellt mit KI in Bing Image Creator durch heise online / dmk)

Lesezeit: 1 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Weil ein Sicherheitspatch fehlerhaft ist, ist die Serverautomationssoftware HCL BigFix Server Automation nach wie vor verwundbar. Nun haben die Entwickler reagiert.

Mit der Anwendung automatisieren Admins Tasks auf Servern, um etwa Updates in bestimmten Reihenfolgen zu installieren.

In einer Warnmeldung schreiben sie, dass die Lücke (CVE-2024-52798 "hoch") auf ein kaputtes Sicherheitsupdate für eine Schwachstelle (CVE-2024-45296 "hoch") aus November 2024 im gleichen Kontext zurückgeht. HCL zufolge können Angreifer an Ausgaben der Funktion path-to-regexp ansetzen, um die Leistung zu beeinträchtigen und DoS-Zustände zu provozieren. Bislang gibt es keine Hinweise auf laufende Attacken.

Videos by heise

Davon sind alle Versionen bis einschließlich 9.5.70 betroffen. HCL BigFix SA REST API 9.5.71 ist die gegen die geschilderte Attacke abgesicherte Ausgabe. Hinweise zur Installation finden Admins in der Warnmeldung.

(des)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten