Drittherstellermodule reißen kritische Sicherheitslücken in HP Teradici PCoIP
PC over IP, eine Art Remote-Desktop-Protokoll, von HP Teradici läuft auf 15 Millionen Rechnern. Komponenten von Drittherstellern haben kritische Schwachstellen.
(Bild: Shutterstock/chanpipat)
Das Mitte vergangenen Jahres von HP übernommene Unternehmen Teradici bietet mit PCoIP eine Art Remote-Desktop-Protokoll an, um Desktop-PCs oder Workstations aus dem Datencenter oder öffentlicher Cloud vom Endnutzer etwa auf Thin-Clients nutzbar zu machen. Die Software läuft der Selbstdarstellung des Unternehmens zufolge auf 15 Millionen Clients. Durch teils kritische Sicherheitslücken in Drittherstellerkomponenten sind diese Clients gefährdet. Angreifer könnten betroffene Maschinen kompromittieren.
Zwei Sicherheitsmeldungen, viele Lücken
Eine der beiden Sicherheitsmeldung von HP betrifft Sicherheitslücken in der verwendeten Expat-Bibliothek, die der Verarbeitung von XML dient. Gleich acht Sicherheitslücken befinden sich darin. Davon stellen drei ein kritisches Sicherheitsrisiko dar (CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, alle CVSS 9.8) und fünf ein hohes (CVE-2022-22825, CVE-2022-22826, CVE-2022-22827, CVE-2021-45960, alle CVSS 8.8, und CVE-2021-46143, CVSS 7.8).
Die zweite Sicherheitsmeldung betrifft Schwachstellen in der mitgelieferten OpenSSL-Version. Dadurch könnte die Software in eine Endlosschleife geraten, wenn sie Zertifikate mit öffentlichen Schlüsseln basierend auf elliptischen Kurven verarbeitet (CVE-2022-0778, CVSS 7.8, Risiko hoch). Ein sogenannter Denial-of-Service (DoS), der die Software schlussendlich lahmlegt. Eine weitere Lücke betrifft die Quadrat-Prozedur für MIPS32 und MIPS64 und betrifft mehrere Elliptische-Kurven-Algorithmen, auch Standard-Kurven für TLS 1.3. Allerdings sei das Ausnutzen nur unter sehr eingeschränkten Bedingungen möglich, um die Verschlüsselung dadurch anzugreifen (CVE-2021-4160, CVSS 5.9, mittel).
Lesen Sie auch
Amazons WorkSpaces auf Zero Clients
Betroffen von beiden Problemen sind die Teradici PCoIP Clients, Graphics Agents sowie das Client SDKs für Windows, Linux, macOS und die Standard Agents für Linux und Windows. Die Client-Versionen 22.01.3 sowie die Agents 22.01.2 schließen die Sicherheitslücken und liefern libexpat 2.4.7 sowie OpenSSL 1.1.1n mit.
Administratoren sollten die aktualisierte Software schnell herunterladen und installieren, um die Sicherheit der Nutzer und der Netzwerke nicht unnötig zu gefährden. Die Updates sind in den obigen Sicherheitsmeldungen verlinkt.
(dmk)
