zurück zum Artikel

Geräteverwaltung HCL Bigfix dichtet DoS-Lücke ab

Dirk Knop

(Bild: VideoFlow/Shutterstock.com)

Die Geräteverwaltungssoftware HCL Bigfix enthält eine Schwachstelle, die Angreifern das Lahmlegen der Software auf Endpoints ermöglicht.

Die Geräte-Management-Software HCL Bigfix Server Automation ist von einer Sicherheitslücke in der genutzten qs-Bibliothek betroffen. Angreifer könnten dadurch den Bigfix-Prozess auf verwundbaren Knoten lahmlegen. Aktualisierte Software zum Beheben des Fehlers steht bereit.

Die Sicherheitslücke geht darauf zurück, dass nicht authentifizierte Angreifer aus dem Netz eine Attacken-Payload in einer URL-Anfrage mit einem Parameter der Form a[__proto__]=b&a[__proto__]&a[length]=100000000 platzieren können. Bei der Verarbeitung in der qs-Bibliothek vor Version 6.10.3 kann sich der Node-Prozess dadurch aufhängen, erläutert HCL in einer Sicherheitsmeldung [1] (CVE-2022-24999, CVSS 7.5, Risiko "hoch").

HCL Bigfix-Lücke: Betroffene Versionen

Die verwundbare qs-Bibliothek kommt gemäß der HCL-Meldung unter anderem in der Software Express vor Stand 4.17.3 zum Einsatz. Die obigen Parameter seien in zahlreichen Express-Nutzungsfällen typisch. Die Fehlerkorrektur haben die Entwickler in die Versionen qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3 sowie 6.2.4 zurückportiert.

Somit ist auch Express 4.17.3, das als Abhängigkeit "deps: qs@6.9.7" in der Release-Beschreibung habe, nicht mehr verwundbar. Offiziell listet HCL in der Meldung HCL BigFix Server Automation Rest API in Version 9.5.64 und Ältere als verwundbar auf. IT-Verantwortliche gelangen über die ihnen bekannten Wege an die aktualisierte, fehlerbereinigte Software.

Mitte vergangenen Jahres musste HCL in Bigfix Sicherheitslücken stopfen, die Angreifern das Kompromittieren [2] von verwundbaren Systemen erlaubten. Die Lücken wurden teils als kritisch eingestuft und ermöglichten etwa das Ausführen eigener Befehle.

(dmk [3])

URL dieses Artikels:
https://www.heise.de/-8514805

Links in diesem Artikel:
[1] https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0104034
[2] https://www.heise.de/news/Geraetemanagement-Software-HCL-BigFix-fuer-Befehle-von-Angreifern-anfaellig-7166275.html
[3] mailto:dmk@heise.de

Copyright © 2023 Heise Medien