Mehrere Schwachstellen in PeopleTools
Mehrere Sicherheitslücken in der ERP-Software PeopleTools ermöglichen Angreifern das Auslesen kritischer Daten und das Einschleusen manipulierter Webseiten.
Mehrere Sicherheitslücken in der ERP-Software PeopleTools von PeopleSoft ermöglichen Angreifern das Auslesen kritischer Daten und das Einschleusen manipulierter Webseiten, berichtet das britische Sicherheitsunternehmen Corsaire.
Die erste LĂĽcke betrifft fehlende EingabeĂĽberprĂĽfungen im Gateway-Administration-Servlet von PeopleSoft. DarĂĽber kann ein Angreifer durch ungĂĽltige Eingaben den genauen Pfad der Serverkonfiguration erfahren. Ebenso fehlt eine EingabeĂĽberprĂĽfung im Tool IScript, wodurch ein Cross-Site-Scripting-Angriff ausgefĂĽhrt werden kann. Ăśber diesen Fehler kann ein Angreifer sowohl sicherheitskritische Informationen ĂĽber Anmeldedaten von Nutzern einsehen als auch manipulierte Webseiten einschleusen. Auch in der Komponente PeopleBooks bestehen Validierungsfehler; darĂĽber kann ein Angreifer auf beliebige Verzeichnisse auĂźerhalb des Wurzelverzeichnisses des Webservers zugreifen oder einen Denial-of-Service-Angriff ausfĂĽhren.
Die SicherheitslĂĽcken betreffen die Versionen 8.20 sowie 8.43 und niedriger. Patches stellt PeopleSoft fĂĽr registrierte Kunden in ihrem Download-Bereich zur VerfĂĽgung.
Siehe auch: (pab)
- Corsaire-Advisory zum Gateway-Administration-Servlet
- Corsaire-Advisory zum IScript
- Corsaire-Advisory zu PeopleBooks
