Mehrere Sicherheitslücken in HPs Server-Verwaltung Insight Diagnostics
Kombinieren Angreifer die Lücken, können sie beliebigen Code auf den Servern ausführen. Ein Fix ist noch nicht in Sicht.
Gleich mehrere Sicherheitslücken lauern in HPs Server-Verwaltung Insight Diagnostics. Werden die Lücken miteinander kombiniert, können Angreifer beliebigen PHP-Code mit Administratorrechten auf den Servern ausführen. Bisher ist kein Patch für die Schwachstellen vorhanden.
Die Sicherheitslücken (CVE-2013-3574, CVE-2013-3573 und CVE-2013-3575) betreffen die Version 9.4.0.4710 und vermutlich frühere Versionen des Tools. Die Schwachstellen wurden von Markus Wulftange, einem Mitglied des Offensive-Security-Teams der Daimler TSS, gefunden und gemeldet.
Da es bisher keinen Fix gibt, rät das US-CERT, ab sofort nur Verbindungen von vertrauenswürdigen Hosts und Netzwerken zu erlauben. (kbe)
