Symantec Reporting Server verrät Passwort-Hash
Mit dem Hash ist es dann möglich, etwa durch den Vergleich mit so genannten Rainbow-Tables, recht schnell an das Passwort im Klartext zu gelangen und sich auf dem System anzumelden.
Symantec weist auf eine Schwachstelle in seinem Symantec Reporting Server hin, durch die es unter bestimmten Umständen passieren kann, dass ein Angreifer an den Hash eines Administrator-Passwort gelangen kann. Damit ist es dann möglich, etwa durch den Vergleich mit so genannten Rainbow-Tables, recht schnell an das Passwort im Klartext zu gelangen und sich auf dem System anzumelden. Allerdings ist damit nur der Zugriff auf Reports von Produkten aus der Reihen von Symantecs Client-Security- und AntiVirus-Produkten möglich. Der Zugriff auf andere Programme, die auf dem selben System laufen, ist so nicht möglich.
Betroffen ist der Reporting Server, wie er in Symantec Client Security 3.1 und SAV CE 10.1 enthalten ist. Ein Patch steht bereit, der schon ĂĽber das automatische Update ausgeliefert wird.
Siehe dazu auch:
- Symantec Reporting Server Password Disclosure, Fehlerbericht von Symantec
(dab)
