Einbruch in Einbruchserkennung möglich
Die quelloffene Kameraüberwachungssoftware ZoneMinder weist mehrere Sicherheitslücken auf, durch die ein Angreifer das überwachungssystem unter seine Kontrolle bringen kann.
Die quelloffene Kameraüberwachungssoftware ZoneMinder weist mehrere Sicherheitslücken auf, durch die ein Angreifer das Überwachungssystem unter seine Kontrolle bringen kann. ZoneMinder kann die Bilder mehrerer Kameras aufnehmen und in einem Webfront anzeigen.
Dem Fehlerbericht von Filip Palian zufolge ist es möglich, durch die fehlerhafte Filterung von übergebenen Parametern in den Funktionen zm_html_view_state.php und zm_html_view_events.php eigene Befehle an die Shell zu übergeben und ausführen zu lassen. Darübr hinaus weist zm_html_view_events.php noch eine SQL-Injection-Lücke auf. Zudem sollen mehrere zm_html_view_-Skripte Cross-Site-Scripting-Lücken aufweisen.
Die Fehler wurden in Version 1.23.3 gefunden, andere Versionen sind wahrscheinlich ebenfalls betroffen. Ein Update gibt es noch nicht. Als Workaround sollten Anwender eine rudimentäre Authentifizerung etablieren, unter Apache etwa mit htaccess.
Siehe dazu auch:
- ZoneMinder Multiple Vulnerabilities, Fehlerbericht von Filip Palian
(dab)
