Zwei Schwachstellen in Symantecs Management Console
Mit Updates sichert Symantec den Fernzugriff für seine Management Platform ab.
In der Admin-Webobefläche der Management Console für Symantecs Management Platform klaffen zwei Sicherheitslücken. Der Anbieter stuft das davon ausgehende Risiko mit "mittel" ein. Das Notfallteam des BSI CERT Bund sieht das anders und bewertet das Risiko mit "hoch". Sicherheitsupdates schließen die Schwachstellen. Die betroffenen Versionen und die jeweilig dafür passenden Patches finden sich in der offiziellen Sicherheitswarnung.
Setzt ein nicht authentifizierter Angreifer aus der Ferne an der XSS-Lücke mit der Kennung CVE-2017-6322 an, soll er eine laufende Session übernehmen können. Dafür muss ein eingeloggtes Opfer aber auf einen präparierten Link klicken.
Aufgrund einer mangelnden Überprüfung eines XML-Parsers sollen Angreifer unter anderem Daten abziehen und das System lahmlegen können. Diese XML-external-entity-Lücke (XXE) trägt die Kennung CVE-2017-6323. (des)
