Kritische Lücken: HP Data Protector verzichtet auf Authentifikation

Angreifer können den HP Data Protector über verschiedene Schwachstellen in die Mangel nehmen und Code auf Computer schieben. Sicherheits-Updates unterbinden das.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Cyberkriminalität

(Bild: dpa, Julian Stratenschulte)

Lesezeit: 1 Min.

Die Backup-Anwendung HP Data Protector authentifiziert selbst mit aktivierter verschlüsselter Kommunikation Nutzer nicht. Zudem greifen alle Installationen von HP Data Protector auf einen identischen privaten SSL/TLS-Schlüssel zurück, warnt HP.

Insgesamt klaffen sechs Lücken in den Version 7, 8 und 9 der Backup-Anwendung für HP-UX, Linux und Windows. Vier davon sind mit dem höchsten CVSS Base Score 10/10 als kritisch eingestuft. Die abgesicherten Versionen 7.03_108, 8.15 und 9.06 stehen zum Download bereit.

Aufgrund der fehlenden Authentifizierung können sich Angreifer auf Systeme schleichen und aus der Ferne Code ausführen. Zudem sind Man-in-the-Middle-Angriffe vorstellbar. (des)