Ipswitch "Whats Up" anfällig für SQL-Injection

Durch eine Schwachstelle im Netzwerk-Überwachungstool Whats Up Professional 2005 von Ipswitch können Angreifer von außen SQL-Code einschleusen.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Patrick Brauch

Eine Sicherheitslücke im Netzwerk-Überwachungstool Whats Up Professional 2005 von Ipswitch ermöglicht Angreifern, administrativen Zugang auf die Whats-Up-Oberfläche zu erhalten. Das Sicherheitsunternehmen iDefense hat die Schwachstelle entdeckt: Der Login-Screen des Web-Frontends überprüft die Nutzereingaben "User Name" und "Password" nur unzureichend, daher können SQL-Statements übergeben werden.

Das Web-Frontend ist standardmäßig nicht aktiv, sodass Default-Konfigurationen nicht anfällig sind. Ipswitch stellt die Version SP1a zur Verfügung, bei der das Problem behoben ist. Als alternativen Workaround empfiehlt iDefense, das Web-Frontend unter dem Menüpunkt "Configure/Program Options" abzuschalten.

Siehe dazu auch: (pab)