SicherheitslĂĽcke in PrimeBase
Die Sicherheitsseite Vapid Labs warnt vor einem Fehler im Primebase SQL-Server, der es Nutzern ermöglicht, das Administrationspasswort auszulesen.
Die Sicherheitsseite Vapid Labs warnt vor einem Fehler im PrimeBase SQL-Server, der es Nutzern ermöglicht, das Administrationspasswort auszulesen und das System zu kompromittieren.
Der Fehler liegt darin, dass Primbase das Administrations-Passwort als Klartext in der Datei password.adm speichert und zusätzlich zu lasche Dateirechte vergibt: Lokale Nutzer können nicht nur das Passwort auslesen, sondern auch Binärdateien vom SQL-Server verändern. Darüber könne ein Angreifer theoretisch beliebigen Code ausführen lassen, allerdings bedarf es dazu einen Reboot oder einen Restart der Datenbank. Zudem weist Vapid Labs darauf hin, dass im Rahmen der Primebase-Installation standardmäßig ein Administrator-Account ohne Passwort angelegt wird -- dieser sollte dringend deaktiviert oder mit einem Passwort versehen werden.
Einen Patch von PrimeBase gibt es bislang nicht, soll aber in Kürze zur Verfügung stehen. Bis dahin empfiehlt Vapid Labs, die Dateirechte restriktiver einzustellen, sodass normale Nutzer die Passwort-Datei nicht mehr einsehen können und keine Schreibrechte für die Binärdateien haben.
Siehe dazu auch: (pab)
- Advisory von Vapid Labs
