26.09.2007 17:52

Adobes Webserver sperrangelweit offen

Ein CGI-Skript auf Adobes Webserver weist einen kritischen Fehler auf, mit dem der Zugriff auf beliebige Dateien des Systems möglich ist. Dazu genügt es, eine präparierte URL in einem Browser aufzurufen, um den Inhalt der Dateien angezeigt zu bekommen. Neben Konfigurationsdaten ist es so auch möglich, Log-Dateien, SSL-Schlüssel und Passwort-Dateien einzusehen. Zu welchem Schlüsselpaar der abrufbare private SSL-Key gehört, wird noch untersucht, derzeit scheint er aber zu keinem bekannten SSL-Zertifikat von Adobe zu passen.

Ob möglicherweise auch Adobes Webshop von dieser Directory-Traversing-Lücke betroffen ist und sich so Kundendaten abrufen lassen, ist derzeit noch unklar. Allerdings kursieren die URLs bereits in Foren und Chats, und es dürfte nur eine Frage der Zeit sein, bis jemand auf solche Daten stößt. Adobe wurde per Mail bereits über das Problem informiert. (dab/c't)

Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren

« Vorige | Nächste »

Kommentare lesen (162 Beiträge)

Themen-Forum Schwachstellen

English version: Adobe web server wide open

heise Security

Programmieren von Exploits
Sieben Tutorials zeigen alles, was man wissen muss, um zuverlässige Exploits für Buffer Overflows in Software zu schreiben mehr...

TLS-Renegotiation-Schwachstelle erklärt
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt. mehr...

Security Operations von Innen
Im Security Operations Center (SOC) überwacht Symantec aus der Ferne die Netzwerke seiner Kunden auf Hackerangriffe und verdächtige Aktivitäten. Wir haben uns das SOC von innen angeschaut. mehr...