Unsicherer Konsolenzugang [Update]
Durch einen Fehler im AlterPath Manager (APM) von Cyclades kann ein Angreifer administrative Rechte erlangen.
Die Gruppe CIRT.net berichtet über mehrere Fehler im AlterPath Manager (APM) von Cyclades; der schwerwiegendste ermöglicht es angemeldeten Benutzern, sich administrative Rechte zu verschaffen oder auf willkürliche Konsolen zuzugreifen. Des Weiteren gibt das Gerät unter bestimmten Umständen Systeminformationen preis. Betroffen sind die Versionen bis AlterPath Manager 1.2.1. Den Advisories zufolge will der Hersteller die Probleme mit der Firmware Version 1.2.5 beheben, die allerdings derzeit noch nicht verfügbar ist. Als Workaround empfiehlt CIRT.net, den Zugang zum Webinterface zu sperren und den Zugriff zu den Konsolen auf SSH zu beschränken.
Update
Nach Angaben des Herstellers wird es keine Firmwareversion 1.2.5 geben, sondern gleich eine Version 1.3. Es wird auch schnellstmöglich einen Fix für die Fehler veröffentlicht, so Cyclades.
Siehe dazu auch: (eck)
- Cyclades AlterPath Manager Information Disclosure von CIRT.net
- Cyclades AlterPath Manager Arbitrary Console Connection von CIRT.net
- Cyclades AlterPath Manager Privilege Escalation von CIRT.net
