zurück zum Artikel

Durch eine Schwachstelle im Netzwerk-Überwachungstool Whats Up Professional 2005 von Ipswitch können Angreifer von außen SQL-Code einschleusen.

Eine Sicherheitslücke im Netzwerk-Überwachungstool Whats Up Professional 2005 [1] von Ipswitch ermöglicht Angreifern, administrativen Zugang auf die Whats-Up-Oberfläche zu erhalten. Das Sicherheitsunternehmen iDefense [2] hat die Schwachstelle entdeckt: Der Login-Screen des Web-Frontends überprüft die Nutzereingaben "User Name" und "Password" nur unzureichend, daher können SQL-Statements übergeben werden.

Das Web-Frontend ist standardmäßig nicht aktiv, sodass Default-Konfigurationen nicht anfällig sind. Ipswitch stellt die Version SP1a zur Verfügung, bei der das Problem behoben ist. Als alternativen Workaround empfiehlt iDefense, das Web-Frontend unter dem Menüpunkt "Configure/Program Options" abzuschalten.

Siehe dazu auch: (pab)

• Advisory [3] von iDefense
• Change Log [4] zu Whats Up Professional 2005 SP1a von IpsWitch

URL dieses Artikels:
https://www.heise.de/-110829

Links in diesem Artikel:
[1] http://www.ipswitch.com/Products/WhatsUp/professional/index.html
[2] http://www.idefense.com
[3] http://www.idefense.com/application/poi/display?id=268&type=vulnerabilities&flashstatus=true
[4] http://www.ipswitch.com/forums/shwmessage.aspx?ForumID=20&MessageID=7699

Copyright © 2005 Heise Medien