zurück zum Artikel

Angreifer können den HP Data Protector über verschiedene Schwachstellen in die Mangel nehmen und Code auf Computer schieben. Sicherheits-Updates unterbinden das.

Die Backup-Anwendung HP Data Protector authentifiziert selbst mit aktivierter verschlüsselter Kommunikation Nutzer nicht. Zudem greifen alle Installationen von HP Data Protector auf einen identischen privaten SSL/TLS-Schlüssel zurück, warnt HP [1].

Insgesamt klaffen sechs Lücken in den Version 7, 8 und 9 der Backup-Anwendung für HP-UX, Linux und Windows. Vier davon sind mit dem höchsten CVSS Base Score 10/10 als kritisch eingestuft. Die abgesicherten Versionen 7.03_108, 8.15 und 9.06 stehen zum Download bereit [2].

Aufgrund der fehlenden Authentifizierung können sich Angreifer auf Systeme schleichen und aus der Ferne Code ausführen. Zudem sind Man-in-the-Middle-Angriffe vorstellbar. (des [3])

URL dieses Artikels:
https://www.heise.de/-3183095

Links in diesem Artikel:
[1] https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05085988
[2] https://softwaresupport.hpe.com/
[3] mailto:des@heise.de

Copyright © 2016 Heise Medien