Lücken in Server-Produkten von Fujitsu Siemens

Der Sicherheitsdienstleister RedTeam Pentesting hat Schwachstellen in Produkten von Fujitsu Siemens gemeldet, die die Sicherheit von Servern gefährden. So weist das ServerView-Management-Tool in einem CGI-Skript einen kritischen Fehler auf, mit dem es Angreifern möglich sein soll, beliebige Befehle auf dem Server auszuführen. Schuld ist das Skript DBAsciiAccess, das für Netzwerkchecks eine Ping-Funktion bietet. Als Parameter lässt sich eine IP-Adresse angeben, die ohne weitere Prüfung die Adresse an das Ping-Tool weitergibt. Durch einfaches Anfügen eines Semikolons an die Adresse ist es möglich, dass die Shell zusätzlich angegebene Befehle mit den Rechten des Webservers ausführt.

Ob für den Webzugriff auf ServerView eine vorherige Authentifizierung erforderlich ist, schreibt das RedTeam nicht, als Workaround empfehlen sie aber, den Zugriff für nicht vertrauenswürdige Nutzer zu blockieren. Der Fehler wurde in der ServerView-Version 4.50.09 für Linux beseitigt. Laut Fehlerbericht weist Fujitsu Siemens allerdings nicht explizit darauf hin, dass die neue Version eine kritische Lücke schließt.

Daneben gibt der Fujitsu Siemens BX300 Switch Blade Informationen preis, die sich für weitere Angriffe nutzen lassen. So zeigt das Webinterface unter Umständen trotz gescheiterter Authentifizierung Informationen über die aktuelle Konfiguration an. Dazu gehört auch beispielsweise der SNMP-Community-String. Der Hersteller ist über das Problem informiert, hat sich aber laut Bericht entschlossen, das Problem nicht zu beheben.

Siehe dazu auch:

• Fujitsu-Siemens ServerView Remote Command Execution, Fehlerbericht von RedTeam Pentesting
• Fujitsu-Siemens PRIMERGY BX300 Switch Blade Information Disclosure, Fehlerbericht von RedTeam Pentesting

(dab)