PDA-Mailsynchronisierung NotifyLink leicht angreifbar
Das US-CERT weist auf vier Schwachstellen in NotifyLink-Produkten des Herstellers Notify Technology hin, mit der Angreifer die Datenbank manipulieren und die Kommunikation belauschen können.
Das US-CERT weist auf vier Schwachstellen in NotifyLink-Produkten des Herstellers Notify Technology hin. Mit NotifyLink können Anwender Mails auf ihrem PDA mit einem Mail-Server synchronisieren. Die Lösung besteht aus einem Client für den PDA und dem NotifyLink-Server, die untereinander verschlüsselt kommunizieren.
Ein Fehler in der Implementierung des NotifyLink Key Exchange Protocol reduziert die Qualität des ausgetauschten Schlüsselmaterials, womit auch die Qualität des Schlüssels abnimmt. Angreifer können nach Angaben des US-CERT so die chiffrierten Daten relativ leicht entschlüsseln. Durch eine SQL-Injection-Schwachstelle im NotifyLink-Server kann ein nicht authentifizierter Nutzer die Datenbank manipulieren. Unter anderem kann er so weitere Nutzerkonten - auch Administratorkonten - anlegen.
Über die Web-GUI des Servers kann ein Anwender zudem durch Manipulieren der URL auf Funktionen zugreifen, die eigentlich vom Administrator gesperrt wurden. Des Weiteren werden im administrativen Interface des Servers Passwörter von Nutzern im Klartext angezeigt. Die genannten Fehler sind in Version 3.0 von NotifyLink behoben.
Siehe dazu auch: (dab)
- NotifyLink server provides inadequate protection for cryptographic key material von US-CERT
- NotifyLink contains multiple SQL injection vulnerabilities von US-CERT
- NotifyLink web client fails to adequately restrict access to administrative functions von US-CERT
- NotifyLink administrative interface displays user passwords in clear text von US-CERT
