Codeschmuggel durch McAfees ePolicy Orchestrator
Durch eine Schwachstelle in McAfees ePolicy Orchestrator könnten Angreifer Zugriff mit Systemrechten erlangen.
Durch McAfees ePolicy Orchestrator (EPO) könnten Angreifer beliebige Dateien im System anlegen und mit ebenfalls beliebigem Inhalt füllen. Sie könnten so Zugriff mit Systemrechten erlangen. EPO dient der Verwaltung und Fernwartung von McAfees Unternehmenslösungen. In den Framework Services von EPO, die standardmäßig aktiv sind und im Netzwerk auf Port 8081 auf http-Anfragen lauschen, hat der Sicherheitsdienstleister eEye eine so genannte Directory -Traversal-Schwachstelle entdeckt.
Die Framework Services akzeptieren POST-Anfragen. Die Anfragen enthalten etwa einen Header mit Längenangabe, einer UUID und dem Host-Namen des Computers. Bei einer so genannten PropsResponse-Anfrage kann in dem Paket ein Verzeichnis, ein Dateiname sowie der Dateiinhalt angegeben werden. Durch eine fehlerhafte Überprüfung des Verzeichnisses und Dateinamens könnten Angreifer über Directory-Traversal, also dem Einfügen von "../" in den Pfad, beliebige Dateien im System anlegen und deren Inhalt vorgeben. Zwar wird diese Datei direkt nach der Nutzung durch EPO gelöscht, Angreifer könnten das jedoch umgehen, indem sie im Längenfeld für den Dateiinhalt einen größeren Wert angeben, als sie tatsächlich an Daten im Paket mitliefern.
Die Schwachstelle betrifft ePolicy-Orchestrator und ePolicy-Orchestrator-Agents in der Version 3.5.0.x und möglicherweise frühere. McAfee schließt die Lücke ab Version 3.5.5, die registrierte Nutzer beim Hersteller herunterladen können.
Siehe dazu auch: (dmk)
- McAfee ePolicy Orchestrator Remote Compromise, Sicherheitsmeldung von eEye
- Download der fehlerbereinigten Version (Anmeldung erforderlich)
