Sicherheitslöcher in HPs Web JetAdmin 6.5
Mehrere Sicherheitslücken in HPs Web JetAdmin 6.5 ermöglichen Angreifern, das Systeme zu kompromittieren.
FX von Phenoelit hat auf Bugtraq ein Advisory über mehrere Sicherheitslücken in HPs Web JetAdmin 6.5 veröffentlicht. Das Advisory trägt zwar das Datum 28.10.2002 -- zu diesem Zeitpunkt wurde auch HP benachrichtigt --, ist aber erst jetzt veröffentlicht worden, um HP Gelegenheit zur Beseitigung der Fehler zu geben. 19 Monate des Wartens auf Reaktionen des Herstellers waren FX dann aber wohl doch zuviel, zudem bereits Advisories zu Sicherheitsproblemen in Version 7.5 erschienen sind.
Insgesamt elf Schwachstellen für alle Plattformen sind in der nun erschienenen Meldung aufgeführt, bei denen die kritischsten Lücken Angreifern das Ausführen von eigenem Code ermöglichen. Auf den Seiten von Phenoelit ist dazu bereits ein Remote-Root-Exploit erschienen. Einige der Lücken sind auch in der Version 7.0 enthalten.
Punkt zwölf der Liste im Advisory weist auf zwei versteckte Spiele in JetAdmin hin, was nach Meinung von FX darauf hindeute, dass mangelnde Entwicklungszeit nicht Ursache der vorhandenen Sicherheitslücken gewesen sein kann. Ein Wechsel auf Version 7.5 beseitigt zwar einige der Fehler, bringt aber aus oben genannten Gründen Neue mit. Sofern möglich, sollten Anwender -- bis zum Erscheinen von Patches -- den Zugriff über das Netzwerk auf JetAdmin beschränken.
Siehe dazu auch: (dab)
- Security Advisory von Phenoelit
