News-Meldung vom 01.11.2007 09:35
Symantec hat ein Update für seine Management-Lösung Altiris veröffentlicht, um eine Schwachstelle zu beheben. Nach Angaben des Dienstleisters iDefense steckte im TFTP-Dienst eines mitgelieferten PXE-Servers eine Directory-Traversing-Lücke, mit der es möglich war, Dateien auszulesen. Da der Dienst mit Systemrechten unter Windows läuft, war so der Zugriff auf beliebige Daten möglich.
Symantec schreibt zwar in seinem Fehlerbericht, dass eine Authentifizierung notwendig sei, allerdings unterstützt TFTP gar keine Authentifizierung. Auch iDefense schreibt in seiner Beschreibung des Problems, dass keine Anmeldung erforderlich sei. Betroffen ist laut Fehlerbericht die Version 6.8.8297.48 der Datei pxemtftp.exe. Alternativ zum Update empfiehlt iDefense, den Server für das Pre-Boot Execution Environmnt (PXE) zu deaktivieren.
Siehe dazu auch:
(dab)
English Version: Altiris PXE server discloses information
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-191323
Themen-Forum Schwachstellen
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
