Anmeldung bei ManageEngine ServiceDesk Plus MSP mit beliebigem Passwort möglich
Es gibt wichtige Sicherheitsupdates für die Helpdesk-Software ManageEngine ServiceDesk Plus MSP von Zoho.
(Bild: Artur Szczybylo/Shutterstock.com)
Aufgrund von Fehlern im Lightweight Directory Access Protocol (LDAP) könnten Angreifer mit vergleichsweise wenig Aufwand auf Zohos Helpdesk-Software ManageEngine ServiceDesk Plus MSP zugreifen. Sicherheitsupdates sind verfügbar.
Jetzt patchen!
In einer Warnmeldung stufen die Entwickler die Sicherheitslücke (CVE-2023-22964) als „kritisch“ ein. Die Schwachstelle soll beim Import von Nutzerinformationen vom LDAP-Server auftauchen. Hier könnten Angreifer auf einem nicht näher ausgeführten Weg manipulierend eingreifen und sich letztlich mit beliebigen Eingaben als Passwort einloggen.
Davon sollen die Versionen 10600 bis 10610 und 13000 und 13003 betroffen sein. Zoho gibt an, den Fehler in den Ausgaben 10611 und 13004 gelöst zu haben. Admins, die die Patches nicht sofort installieren können, sollten, um Systeme temporär abzusichern, LDAP deaktivieren.
Der Softwarehersteller sorgte zuletzt mit möglichen Attacken auf ManageEngine-Produkte für Schlagzeilen.
(des)
