SicherheitslĂĽcke in Novell ZENworks 6.0
Die Patch-Management-Komponente des Management-Systems ZENworks 6.0 ist anfällig für einen SQL-Injection-Angriff übers Netz.
Das Management-System Novell ZENworks weist in der etwas älteren Version 6.0 Programmierfehler in der Patch-Management-Komponente auf, durch die ein Angreifer übers Netz in der Lage ist, Einträge der zu Grunde liegenden SQL-Datenbank auszulesen und zu manipulieren. Dies geht aus einem Advisory des Entdeckers der Sicherheitslücke, Dennis Rand vom Danish Computer Incident Response Team (CIRT), hervor.
Durch eine fehlerhafte Parameter-Validierung in den Web-Modulen computers/default.asp und reports/default.asp ist es möglich, eigene SQL-Befehle an den Datenbankserver zu senden. Aus dem Advisory geht auch hervor, wie sich die Sicherheitslücken ausnutzen lassen. Betroffen sind alle Versionen bis einschließlich 6.0.0.52. Es wird empfohlen, auf Versionen ab 6.2.2.181 zu aktualisieren.
Siehe dazu auch: (cr)
