Qbik Wingate schließt Format-String-Schwachstelle
In Qbiks Wingate können Angreifer eine Sicherheitslücke ausnutzen, um fremden Code einzuschleusen und auszuführen.
Die Gateway-Server-Software Wingate von Qbik enthält eine Schwachstelle, durch die bösartige Individuen aus dem Netz eingeschleusten Schadcode ausführen können. Eine Softwareaktualisierung behebt das Problem.
Der Fehler betrifft die SMTP-Komponente von Wingate. Wenn ein Angreifer unbekannte Befehle oder Befehle in unerwarteter Reihenfolge an den SMTP-Server absetzt, gerät die SMTP-Sitzung in einen ungültigen Status. Beim Protokollieren des aufgetretenen Fehlers kopiert die Software vom Benutzer angegebene Daten mit einen unsicheren vsprintf()-Aufruf, wodurch der Server laut Sicherheitsmeldung von Harmony Security abstürzen kann. Weitere Nachforschungen des Sicherheitsdienstleisters Secunia haben jedoch ergeben, dass so auch eingeschleuster Code zur Ausführung kommen kann.
Wingate enthält den Fehler in den Versionen 5.x und 6.x. Die aktuelle Fassung 6.2.2 schließt die Lücke. Administratoren sollten die aktualisierte Software zügig einspielen.
Siehe dazu auch:
- Qbik WinGate Remote Denial of Service, Sicherheitsmeldung von Harmony Security
- Qbik WinGate SMTP-Dienst Format-String-Sicherheitslücke, Fehlermeldung von Secunia
- Download der aktuellen Wingate-Version
(dmk)
