Updates für Trellix ePolicy Orchestrator schließen Sicherheitslücken
Trellix, Nachfolger von McAfee und FireEye, hat den ePolicy Orchestrator aktualisiert. Das Update schließt etwa eine hochriskant eingestufte Schwachstelle.
(Bild: Shutterstock/chanpipat)
In Trellix ePolicy Orchestrator, vor dem Zusammenschluss von McAfee und FireEye Anfang 2022 als McAfee ePolicy Orchestrator bekannt, klaffen mehrere Sicherheitslücken. Mit einem Update haben die Entwickler jetzt die Schwachstellen ausgebessert. IT-Verantwortliche sollten es zeitnah anwenden.
In einer Sicherheitsmitteilung stellt Trellix Informationen zu den Lecks bereit. Zwei Schwachstellen stammen aus Dritthersteller-Software: Der Tomcat-Server reißt eine Lücke mit hohem Risiko auf (CVSS 7.5), während die Java Runtime Environment (JRE) ein mittelschweres Risiko birgt (CVSS 5.1). Diese mitgelieferten Komponenten sind jetzt auf einem fehlerbereinigten Stand dabei.
Trellix ePolicy Orchestrator: Hochriskante Lücke
Aber auch der eigentliche Programmcode der OnPremise-Version des ePolicy Orchestrators birgt Sicherheitslücken. Eine Cross-Site-Scripting-Lücke ermöglicht mit niedrigen Rechten angemeldeten Nutzern aus der Ferne, neue Nutzer mit Administratorrechten auf dem ePO-Server anzulegen. Das habe Einfluss auf den Dashboard-Bereich des Userinterfaces. Angreifer müssten für eine erfolgreiche Attacke manipulierte HTTP-Anfragen an den Server senden (CVE-2023-5444, CVSS 7.8, Risiko "hoch").
Eine Schwachstelle vom Typ "offene Umleitung" (open redirect) ermöglicht Nutzern mit niedrigen Rechten aus der Ferne, URLs auf bösartige Webseiten umzuleiten (CVE-2023-5445, CVSS 5.0, mittel). Etwas tiefer in der Mitteilung rechnen die Autoren jedoch etwas höhere CVSS-Werte aus, 8.0 statt 7.8 sowie 5.4 statt 5.0 – an der Kategorisierung als hohes respektive mittleres Risiko ändert das jedoch nichts.
Die Lücken finden sich im ePolicy Orchestrator "On-Premises" vor Version 5.10.0 SP1 UP2. Diese Version stopft die genannten Sicherheitslücken. Tomcat kommt jetzt in Version 9.0.82 mit, Java in Fassung 1.8.0_381.
Im Frühjahr mussten die Entwickler bereits Sicherheitslücken im Trellix-Agent schließen. Sie hatten Angreifern das Erweitern ihrer Rechte im System sowie das Lahmlegen der Software ermöglicht.
(dmk)
