Symantec schließt Lücken in Backup Exec für Windows Server
Zwar lässt sich durch die Lücken in einem ActiveX-Control Code einschleusen und ausführen. Da allerdings nicht zu erwarten ist, dass ein Administrator mit einem Server im Internet surft, geht Symantec von einem geringen Risiko aus.
- Daniel Bachfeld
Symantec hat einen Hotfix für seine Lösung Backup Exec für Windows Server zur Verfügung gestellt, um mehrere Schwachstellen zu beseitigen. Bei der Installation wird laut Bericht auch ein Scheduler respektive Kalender installiert, der ein ActiveX-Control (pvcalendar.ocx) mitbringt. Darin finden sich zwei Buffer Overflows, durch die sich Code einschleusen und ausführen lässt. Zudem enthält das Control eine unsichere Methode, mit der sich Dateien an beliebiger Stelle auf dem System überschreiben oder anlegen lassen.
Für einen erfolgreichen Angriff muss das Opfer mit dem Internet Explorer aber eine präparierte Webseite besuchen. Da es sich bei dem verwundbaren System um einen Server handelt, geht Symantec von einem geringen Risiko aus – offenbar in der Annahme, dass der Administrator mit dem Server nicht im Internet surft.
Betroffen sind
Symantec Backup Exec for Windows Server 11d build 11.0.6235
Symantec Backup Exec for Windows Server 11d build 11.0.7170
Symantec Backup Exec for Windows Server 12.0 build 12.0.1364
Siehe dazu auch:
- Symantec’s Backup Exec for Windows Server: Multiple Vulnerabilities in Scheduler, Fehlerbericht von Symantec
- Symantec Backup Exec Calendar Control Multiple Vulnerabilities, Fehlerbericht von Secunia
(dab)
