Update für Novell ZENworks schließt kritische Sicherheitslücken
Ein Angreifer kann über das Netzwerk mit bestimmten Paketen Pufferüberlaufe im Task Server, Collection Server und Collection Client provozieren und so Schadcode ausführen.
- Daniel Bachfeld
Novell hat ein Update für seine Management- und Verwaltungslösung ZENworks Asset Management veröffentlicht, um Buffer Overflows im Task Server, Collection Server und dem Collection Client zu beseitigen. Nach Angaben von iDefense kann ein Angreifer die Pufferüberlauf über das Netzwerk mit bestimmten Paketen provozieren und darin enthaltenen Schadcode auf dem Zielsystem ausführen – auf Windows-Systemen im Kontext System, unter Unix als Root.
Ursache für alle drei Schwachstellen ist ein Fehler in der Bibliothek Msg.dll wie sie in Novell ZENworks 7 Asset Management Support Pack 1 Interim Release 10 und vorherigen Versionen enthalten ist. Der Collection Client soll nach Angaben von iDefense zudem statisch gegen diese Bibliothek gelinkt sein, sodass der Fehler ebenfalls in der CClient.exe enthalten ist. Abhilfe schafft ein Update auf das Interims-Release SP1 IR11.
Siehe dazu auch:
- Novell ZENworks Asset Management Msg.dll Heap Overflow Vulnerability, Fehlerbeschreibung von iDefense
- Novell ZENworks Asset Management Collection Client Heap Overflow Vulnerability, Fehlerbeschreibung von iDefense
(dab)