Ipswitch "Whats Up" anfällig für SQL-Injection
Durch eine Schwachstelle im Netzwerk-Überwachungstool Whats Up Professional 2005 von Ipswitch können Angreifer von außen SQL-Code einschleusen.
Eine Sicherheitslücke im Netzwerk-Überwachungstool Whats Up Professional 2005 von Ipswitch ermöglicht Angreifern, administrativen Zugang auf die Whats-Up-Oberfläche zu erhalten. Das Sicherheitsunternehmen iDefense hat die Schwachstelle entdeckt: Der Login-Screen des Web-Frontends überprüft die Nutzereingaben "User Name" und "Password" nur unzureichend, daher können SQL-Statements übergeben werden.
Das Web-Frontend ist standardmäßig nicht aktiv, sodass Default-Konfigurationen nicht anfällig sind. Ipswitch stellt die Version SP1a zur Verfügung, bei der das Problem behoben ist. Als alternativen Workaround empfiehlt iDefense, das Web-Frontend unter dem Menüpunkt "Configure/Program Options" abzuschalten.
Siehe dazu auch: (pab)
- Advisory von iDefense
- Change Log zu Whats Up Professional 2005 SP1a von IpsWitch