5 0Days: HP am Security-Pranger
Richtig peinlich wird es, wenn man nachsieht, wer die 5 kritischen Sicherheitslücken veröffentlicht hat, die der Konzern nach über einem halben Jahr immer noch nicht beseitigt hat.
Die Zero Day Initiative (ZDI) hat gemäß ihrer Policy jetzt 5 Sicherheitslücken veröffentlicht, die ein Hersteller über ein halbes Jahr lang nicht beseitigt hat. Die Zero-Day-Lücken betreffen allesamt Produkte aus dem Enterprise- und Netzwerk-Bereich des Konzerns HP:
- HP LeftHand Virtual SAN
- HP Operations Agent for NonStop
- HP Intelligent Management Center
- HP iNode Management Center
- HP Diagnostics Server
Bei allen fünf Produkten kann ein Angreifer durch spezielle Anfragen übers Netz Programmierfehler ausnutzen, um eigenen Code einzuschleusen und auszuführen – zum Teil sogar als SYSTEM-User. Das entspricht der höchsten Gefahrenstufe. In allen fünf Fällen hat ZDI den Hersteller bereits 2011 über das Problem unterrichtet. Und für keine dieser kritischen Sicherheitslücken gibt es einen Patch von HP – daher der Name Zero Day, kurz 0Day: Der Kunde hat keinerlei Vorlaufzeit, sich auf Angriffe über diese Lücken vorzubereiten. Auch Anfragen von heise Security zu diesen Sicherheitslücken wurden über mehrere Tage hinweg nicht beantwortet.
Weil viele Hersteller keine Anstalten machten, die ihnen gemeldeten Sicherheitslücken auch zu beseitigen, hat die ZDI bereits vor 2 Jahren angekündigt, solche Lücken künftig nach 180 Tagen zu veröffentlichen, wenn der Hersteller nicht reagiert. Diese Drohung hat die der Schwachstellen-Broker auch bereits mehrfach in die Tat umgesetzt. Dass es der ZDI jedoch in diesen Fällen nicht gelang, den Hersteller von der Ernsthaftigkeit des Problems zu überzeugen, wirft ein ziemlich schlechtes Licht auf HP.
Das wird spätestens klar, wenn man die Homepage der Firma TippingPoint aufruft, die die Zero Day Initiative betreibt: Der Link führt schnurstracks zu HP Enterprise Security; der Konzern hatte TippingPoint im Rahmen des Einkaufs von 3Com mit übernommen. Der Fairness halber muss man allerdings dazu sagen, dass dieser Konzernzweig nicht etwa für die Sicherheit von (HP-)Software zuständig ist, sondern sich primär darauf konzentriert, Produkte zu verkaufen, die das Ausnutzen von (Zero-Day-)Sicherheitslücken erschweren sollen: "HP is a leading provider of security and compliance solutions for modern enterprises that want to mitigate risk in their hybrid environments" Wer existierende Sicherheitslücken eindämmen möchte, findet bei HP passende Security-Produkte, lautet also die Botschaft. (ju)
