News-Meldung vom 23.12.2003 11:07
Der Sicherheitsspezialist J.A. Gutierrez hat im Xerox Document Centre einen Fehler entdeckt, der es ohne Authentifizierung ermöglicht, auf beliebige Dateien des gesamten Systems zuzugreifen. Bei Xerox-Document-Centre-Produkten handelt es sich um netzwerkfähige Drucker und Kopierer mit eingebautem Server für professionelle Umgebungen.
Zur Konfiguration und Bedienung des Systems über ein Web-Interfacce läuft ein Webserver, der angegebene URLs nicht richtig überprüft. Durch sogenanntes Direcory Traversing, also der Angabe von "/.." und "/." in der URL, kann ein Angreifer auf Daten ausserhalb des zugelassenen Webverzeichnisses zugreifen. Mit der URL
http://xeroxdrucker.de////////../../../../../../etc/passwd
kann man sich beispielsweise die Passwort-Datei des Systems anzeigen lassen. Betroffen sind laut Advisory das Document Centre 470 und 255 ST, wahrscheinlich aber auch andere Versionen. Xerox ist über das Problem informiert, einen Patch gibt es aber noch nicht. Als Workaround sollten Administratoren das Web-Interface deaktivieren oder die Administration nur für vertrauenswürdige Systeme zulassen.
Siehe dazu auch:
(dab)
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-90747
Kein Themen-Forum
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
