Sicherheitsupdate: Angreifer könnten Sophos Web Appliance über Kommandozeile entern

Wer sein Netzwerk mit der Web Appliance von Sophos abschottet, sollte zügig prüfen, ob die aktuelle Software in Version 4.3.1 schon verfügbar ist. Diese Ausgabe schließt zwei Sicherheitslücken.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.

Sophos hat mit der Verteilung der abgesicherten Web-Appliance-Software 4.3.1 begonnen, berichtet das Unternehmen in seinem Blog. Neben diversen Bugs und Anpassungen des DNS-Lookup-Verhaltens, haben die Entwickler auch zwei Sicherheitslücken geschlossen. Das von den Lücken ausgehend Angriffsrisiko stuft das Notfallteam des BSI CERT Bund mit "hoch" ein.

Die Schwachstellen (CVE-2016-9553 und CVE-2016-9554) klaffen im Web-Admin-Interface. Nutzt ein einfach authentifizierter Angreifer eine der Lücken aus, soll er aus der Ferne über die Kommandozeile beliebige Systemkommandos ausführen können. Den CVE-Beschreibungen zufolge sind davon aber nur Geräte mit der Software-Version 4.2.1.3 bedroht. Ob das Update auch die Schwachstelle mit der Kennung CVE-2016-9554 schließt, ist derzeit unbekannt. Diese Lücke taucht in den Release Notes der aktuellen Version nicht auf. (des)