Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Lücke in TeamSpeak-2-Server [Update]

Durch eine Lücke im TeamSpeak-Server 2.x für Windows und Linux ist es möglich, beliebige Dateien auf dem Server der Sprachkonferenzsoftware auszulesen und erhaltene Informationen, etwa Passwörter, für weitere Angriffe zu missbrauchen.

In Pocket speichern vorlesen Druckansicht 80 Kommentare lesen
Lesezeit: 2 Min.
Security
Von
  • Daniel Bachfeld

Durch eine Lücke im TeamSpeak-Server 2.x für Windows und Linux ist es möglich, beliebige Dateien auf dem Server auszulesen und erhaltene Informationen für weitere Angriffe zu missbrauchen. Wird etwa zur Verwaltung eines Servers die Managementsoftare PLESK benutzt, so ließe sich das Passwort dafür auslesen, um administrativen Zugriff auf das System zu erhalten.

Betroffen sind alle Versionen der Sprachkonferenzsoftware bis einschließlich 2.0.23.17, in der Beta-Version 2.0.23.19 für Windows und Linux ist der Fehler behoben. Allerdings ist die offizielle stabile Version von TeamSpeak bei 2.0.20.1 stehen geblieben. Anwender sollten aus Sicherheitsgründen auf die Beta-Version wechseln oder den Zugriff auf TCP-Query-Port 51234 beschränken. Allerdings sollten sie so schnell wie möglich handeln, da sich der Fehler sehr leicht ausnutzen lässt. Heise Security liegt ein nicht öffentlicher Exploit bereits vor.

Heise Security hat zudem Hinweise eines TeamSpeak-Hosters, der namentlich nicht genannt werden will. Danach wurden die für Teamspeak 2 autorisierten Hoster nicht vom Hersteller über das Problem informiert. Auch bei der vergangene Woche gemeldeten DoS-Lücke hätten die Hoster erst über unabhängige Seiten erfahren. Die Szene sei über die Vorgehensweise zunehmend verärgert, traue sich jedoch nicht, Kritik zu äußern, da demnächst TeamSpeak 3 erscheinen soll, das nur ausgesuchte Hoster anbieten dürfen.

Update
Laut Ralf Ludwig wurden die autorisierten Hoster über den Vertriebspartner kurz nach Bereitstellung der neuen Version am späten Mittwoch Abend informiert. Ludwig widerspricht auch der Darstellung, wonach TeamSpeak 3 nur von ausgesuchten Hostern angeboten werden dürfte. "An unserer Lizensierungspolitik wird sich nichts grossartiges ändern." erklärte er gegenüber heise Security. Zudem sei man mittlerweile daran, die stabile Version 2.0.20.1 mit Sicherheits-Updates zu überarbeiten, um sie in den nächsten Tagen zum Download anbieten zu können.

Siehe dazu auch:

(dab)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten