Sicherheits-Update für LANDesk Management Gateway
Über einen Fehler in der Weboberfläche des LANDesk Management Gateway können Angreifer eigene Befehle an die Shell des zugrundeliegenden Systems übergeben und mit Root-Rechten ausführen.
- Daniel Bachfeld
Über einen Fehler in der Weboberfläche des LANDesk Management Gateway können Angreifer eigene Befehle an die Shell des zugrundeliegenden Systems übergeben und mit Root-Rechten ausführen. Betroffen sind laut Bericht des Herstellers Appliances mit den Versionsnummern 4.0-1.48 und 4.2-1.8.
Das Software-Update GSBWEB_61 soll die Lücke schließen. Nach Angaben von Core Security, die das Problem entdeckt haben, lässt sich der Fehler jedoch nur im Zusammenhang mit Cross-Site-Request-Forgery (CSRF) ausnutzen. Der Fehlerbericht beschreibt daher nicht nur die Command-Injection-Schwachstelle, sondern auch noch die CSRF-Lücke sowie eine Cross-Site-Scripting-Lücke.
Siehe dazu auch:
- LANDesk Management Gateway GSB Software Vulnerability, Bericht des Herstellers
- LANDesk command injection, Bericht von Core Security
(dab)
