Schwachstelle in Trend Micros ServerProtect für Linux [Update]
Durch einen Designfehler in der Benutzerauthentifizierung am Webinterface von ServerProtect für Linux können Angreifer den Virenscanner auf dem Server abschalten.
Ein Designfehler in der Benutzerauthentifizierung am Webinterface von Trend Micros Serverprotect für Linux führt dazu, dass Angreifer den Virenscanner auf dem Server abschalten oder seine Einstellungen verändern können, meldet der Sicherheitsdienstleister iDefense. Der integrierte Server lauscht standardmäßig auf dem TCP-Port 14942 im Netz und wird über ein konfigurierbares Passwort geschützt.
Bei der Anmeldung eines Nutzers legt das Webinterface ein Cookie mit dem Namen splx_2376_info auf dem Client-Rechner an, das eine gültige Session-ID enthält. Ein Angreifer kann sich vollen Zugriff auf die Konfiguration verschaffen, indem er ein Cookie mit dem Namen splx_2376_info und einem beliebigen Wert als Session-ID übergibt. Dies kann beispielsweise mit einem Abfang-Proxy oder mittels Raw-HTTP-Anfragen geschehen.
Die Sicherheitslücke betrifft Trend Micros ServerProtect for Linux 1.3 [Update], 1.25 und 2.5[/Update]. Das Unternehmen stellt auf seiner Webseite Updates bereit, die betroffene Administratoren umgehend einspielen sollten. Zudem sollten sie den Zugriff auf den Serverport auf vertrauenswürdige Rechner beschränken.
Siehe dazu auch:
- Trend Micro ServerProtect Web Interface Authorization Bypass Vulnerability, Sicherheitsmeldung von iDefense
- Download der Patches für ServerProtect for Linux
(dmk)
