SQL-Injection-LĂĽcke in McAfee ePolicy Orchestrator
McAfees Lösung für zentrales Security-Management in Firmen und Konzernen weist selbst ein schwerwiegendes Sicherheitsproblem auf. Ein Hotfix des Herstellers sorgt für Abhilfe.
Unter anderem das CERT-Bund warnt vor einer Schwachstelle im McAfee ePolicy Orchestrator (ePO). Ein Angreifer kann damit ĂĽbers Netz Zugriff auf dessen Datenbank erlangen und dort beliebigen SQL-Code ausfĂĽhren; es handelt sich um eine sogannte Blind SQL Injection. Das CERT-Bund stuft das damit verbundene Risiko als sehr hoch ein.
Der Hersteller Intel Security empfiehlt im Security-Advisory zur LĂĽcke CVE-2016-8027 dringend, den dafĂĽr erstellten Standalone Hotfix einzuspielen. Der steht fĂĽr die betroffenen Versionen ePO 5.1.3, 5.3.1 und 5.3.2 bereit. Die Entdecker von Talos Security stellen weitere Informationen zu Hintergrund und Ausnutzbarkeit der SQL-Injection-LĂĽcke bereit. (ju)
