Ipswitch "Whats Up" anfällig für SQL-Injection
Durch eine Schwachstelle im Netzwerk-Überwachungstool Whats Up Professional 2005 von Ipswitch können Angreifer von außen SQL-Code einschleusen.
Eine Sicherheitslücke im Netzwerk-Überwachungstool Whats Up Professional 2005 [1] von Ipswitch ermöglicht Angreifern, administrativen Zugang auf die Whats-Up-Oberfläche zu erhalten. Das Sicherheitsunternehmen iDefense [2] hat die Schwachstelle entdeckt: Der Login-Screen des Web-Frontends überprüft die Nutzereingaben "User Name" und "Password" nur unzureichend, daher können SQL-Statements übergeben werden.
Das Web-Frontend ist standardmäßig nicht aktiv, sodass Default-Konfigurationen nicht anfällig sind. Ipswitch stellt die Version SP1a zur Verfügung, bei der das Problem behoben ist. Als alternativen Workaround empfiehlt iDefense, das Web-Frontend unter dem Menüpunkt "Configure/Program Options" abzuschalten.
Siehe dazu auch: (pab)
- Advisory [3] von iDefense
- Change Log [4] zu Whats Up Professional 2005 SP1a von IpsWitch
URL dieses Artikels:
https://www.heise.de/-110829
Links in diesem Artikel:
[1] http://www.ipswitch.com/Products/WhatsUp/professional/index.html
[2] http://www.idefense.com
[3] http://www.idefense.com/application/poi/display?id=268&type=vulnerabilities&flashstatus=true
[4] http://www.ipswitch.com/forums/shwmessage.aspx?ForumID=20&MessageID=7699
Copyright © 2005 Heise Medien