Kritische Sicherheitslücken im Backup-Dienst von Legato [Update]
EMC NetWorker enthält insgesamt drei Programmierfehler, die sich von einem Angreifer übers Netz für Denial-Of-Service und zur Ausführung von beliebigem Schadcode nutzen lassen.
Der Sicherheitsdienstleister iDefense hat in dem Backup- und Recovery-System Legato EMC NetWorker drei kritische Sicherheitslücken entdeckt. Nach Herstellerangaben lässt sich der Backup-Dienst zum einen durch manipulierte RPC-Pakete von einem Angreifer übers Netz lahmlegen. Die beiden anderen Fehler ermöglichen unter Umständen sogar die Kompromittierung des Host-Servers durch Ausführung von beliebigem Schadcode. EMC Legato hat die Probleme in Version 7.2.1 bestätigt und stellt dafür einen Hot-Fix bereit. Die Versionen 7.1.4 und 7.3 sowie die kommende Version 7.2.2 seien jedoch nicht verwundbar.
[Update:]
Offenbar sind die NetWorker-basierten Backup-Lösungen von Sun, Solstice Backup (SBU) und StorEdge Enterprise Backup Software (EBS), ebenfalls von den Sicherheitslücken betroffen. Details zu betroffenen Versionen und Patches nennt Sun in einem eigenen Advisory.
Siehe dazu auch: (cr)
- Technical Product Alert: EMC NetWorker von EMC Legato
- README for NetWorker 7.2.1.Build.314, weitere Informationen zum Patch
