CA BrightStor Hierarchical Storage Manager fĂĽhrt fremden Code aus
CA warnt in einer Sicherheitsmeldung vor Schwachstellen in BrightStor Hierarchical Storage Manager, durch die Angreifer Schadcode einschleusen und ausführen können.
Computer Associates hat eine Sicherheitsmeldung veröffentlicht, in der das Unternehmen vor Schwachstellen in BrightStor Hierarchical Storage Manager warnt. Angreifer können aufgrund der Lücken fremden Code einschleusen oder den Dienst abschießen. Ein Update soll die Lücken schließen.
Details zu den Schwachstellen nennt CA in seiner Sicherheitsmeldung nicht, stuft deren Risiko jedoch als hoch ein. Der Hersteller deutet an, dass der CsAgent-Dienst bei einigen Kommandos keine hinreichende Längenprüfung vornimmt. Auch übergebene Integer-Werte überprüft die Software nicht korrekt, was zu Pufferüberläufen führen kann. Was die fehlerhafte Prüfung von Zeichenketten in SQL-Statements bewirkt, bleibt unklar.
In der Sicherheitsmeldung verweist CA auf Einträge in der Fehlerdatenbank Common Vulnerabilities and Exposures (CVE), die allerdings noch nicht verfügbar sind. Die Sicherheitsdienstleister iDefense und TippingPoint, die die Fehler an CA gemeldet haben, werden aber wahrscheinlich demnächst eigene Fehlerberichte mit Details zu den Schwachstellen veröffentlichen.
Betroffen ist dem Fehlerbericht zufolge der CsAgent-Dienst des Hierarchical Storage Manager unter Windows in Version 11.5 und ältere Fassungen. Das Update auf Version 11.6 dichtet die Lücken ab. Administratoren sollten die aktualisierte Software zügig einspielen.
Siehe dazu auch:
- CA BrightStor Hierarchical Storage Manager CsAgent Security Notice, Sicherheitsmeldung von CA
- Download der aktualisierten Software (Anmeldung erforderlich)
(dmk)
