Geräteverwaltung HCL Bigfix dichtet DoS-Lücke ab
Die Geräteverwaltungssoftware HCL Bigfix enthält eine Schwachstelle, die Angreifern das Lahmlegen der Software auf Endpoints ermöglicht.
Die Geräte-Management-Software HCL Bigfix Server Automation ist von einer Sicherheitslücke in der genutzten qs-Bibliothek betroffen. Angreifer könnten dadurch den Bigfix-Prozess auf verwundbaren Knoten lahmlegen. Aktualisierte Software zum Beheben des Fehlers steht bereit.
Die Sicherheitslücke geht darauf zurück, dass nicht authentifizierte Angreifer aus dem Netz eine Attacken-Payload in einer URL-Anfrage mit einem Parameter der Form a[__proto__]=b&a[__proto__]&a[length]=100000000
platzieren können. Bei der Verarbeitung in der qs-Bibliothek vor Version 6.10.3 kann sich der Node-Prozess dadurch aufhängen, erläutert HCL in einer Sicherheitsmeldung (CVE-2022-24999, CVSS 7.5, Risiko "hoch").
HCL Bigfix-Lücke: Betroffene Versionen
Die verwundbare qs-Bibliothek kommt gemäß der HCL-Meldung unter anderem in der Software Express vor Stand 4.17.3 zum Einsatz. Die obigen Parameter seien in zahlreichen Express-Nutzungsfällen typisch. Die Fehlerkorrektur haben die Entwickler in die Versionen qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3 sowie 6.2.4 zurückportiert.
Somit ist auch Express 4.17.3, das als Abhängigkeit "deps: qs@6.9.7" in der Release-Beschreibung habe, nicht mehr verwundbar. Offiziell listet HCL in der Meldung HCL BigFix Server Automation Rest API in Version 9.5.64 und Ältere als verwundbar auf. IT-Verantwortliche gelangen über die ihnen bekannten Wege an die aktualisierte, fehlerbereinigte Software.
Mitte vergangenen Jahres musste HCL in Bigfix Sicherheitslücken stopfen, die Angreifern das Kompromittieren von verwundbaren Systemen erlaubten. Die Lücken wurden teils als kritisch eingestuft und ermöglichten etwa das Ausführen eigener Befehle.
(dmk)