Lücke in Novells SSL-VPN-Lösung
Durch Manipulation der Sicherheitsrichtlinien kann ein Anwender Beschränkungen umgehen.
Der Hersteller Novell hat ein Update für seine SSL-VPN-Lösung Novell Access Manager bereitgestellt, die verhindern soll, dass Anwender die Sicherheitsrichtlinien umgehen und so Zugriff auf sämtliche Netzwerkressourcen erhalten können. Die Ursache des Problems liegt im ActiveX-Control actX.ocx, das während der Installation die Datei policy.txt erzeugt, in der die Sicherheitsrichtlinien festgelegt sind. Laut Fehlerbericht setzt das Control aber die Rechte auf die Datei falsch, sodass auch ein nicht privilegierter Anwender Zugriffsrechte auf diese Datei hat und diese manipulieren kann. Betroffen ist Novell Access Manager Version 3.0 IR1. Ein aktualisiertes Control enthält den Fehler nicht mehr.
Siehe dazu auch:
- Fix for SSLVPN Security vulnerability allowing users to bypass configured traffic policy with ActiveX based connections, Fehlerbericht von Novell
(dab)
