Symantecs FireWall/VPN Appliance mit Anmeldung im Klartext
Der Webzugriff auf die Administrationsoberfläche der FireWall/VPN Appliance 200 erfolgt unverschlüsselt.
Auf Symantecs FireWall/VPN Appliance 200 soll einem Posting auf der Mailingliste Full Disclosure zufolge der Webzugriff auf die Administrationsoberfläche mit einem Passwort in Klartext erfolgen. Bei der Eingabe erscheint statt der gewohnten Sternchen das lesbare Passwort. Damit wird es auch im Browser-Cache abgelegt und kann später wieder aufgerufen werden. Zudem erfolgt die Kommunikation nicht über https, womit das übertragene Passwort auch von einem Netzwerk-Sniffer mitlesbar ist.
Davide Del Vecchio, Verfasser des Postings, kommt zu dem Schluss, dass die Appliance nicht fĂĽr Remote-Management geeignet ist. Der Symantec Enterprise Support antwortete auf Anfrage des Autors, dies sei kein Fehler, das Verhalten sei "by Design". Einen Patch oder Workaround gibt es fĂĽr das Problem nicht. Anwender sollten die Appliance nur vor Ort administrieren.
Siehe dazu auch: (dab)
- Security Advisory auf Full Disclosure
