Menü

Kritische Schwachstellen in Confixx Professional [Update]

Von
vorlesen Drucken Kommentare lesen 66 Beiträge

Die Hacker-Gruppe LoK-Crew hat auf der Mailingliste Bugtraq Details über zwei Sicherheitslücken in der Verwaltungssoftware für Webserver Confixx Professional veröffentlicht. Demnach lässt sich aufgrund unzureichender Filterung der Variablen jahr in der Statistik-Seite user/allgemein_transfer.php im Endkunden-Bereich beliebiger HTML-Code in die Ausgabe des Skriptes einschleusen. Angreifer können mit Hilfe manipulierter Links unter Umständen beispielsweise an Login-Informationen ihrer Opfer gelangen. Ein ähnliches Problem existiert mit der Variablen SID in der Endkunden-Hauptseite user/index.php. Über diese lassen sich sogar beliebige SQL-Befehle an den zugrunde liegenden Datenbankserver übermitteln, was einem Angreifer unter Umständen beliebigen Lese- und Schreibzugriff in der Datenbank ermöglicht.

Die Confixx-Entwicklerfirma SWsoft bestätigte die beiden Lücken gegenüber heise Security für die Versionen 3.1.2 und älter. Die Versionen der 2er-Serie seien ebenfalls betroffen, es sei dabei jedoch schwieriger, die Lücken ausnutzen.

Offenbar erfolgte die Veröffentlichung der Details zu den Schwachstellen ohne vorherige Absprache mit den Entwicklern. Ein Patch existiert bislang noch nicht, soll aber für Version 3.1.2 im Laufe der Woche im Kundenbereich von SWsoft bereitgestellt werden. Als Workaround kommt bis zu seinem Erscheinen beispielsweise in Frage, die beiden unzureichend gefilterten Variablen mit der Apache-Firewall mod_security auf zulässige Werte einzuschränken.

Update:
SWsoft hat im Kundenbereich mittlerweile einen Hotfix für die Schwachstellen bereit gestellt. Laut den Release-Notes findet sich die XSS-Lücke über die ungefilterte Variable jahr in allen Versionen der Software, von der SQL-Injection über die SID-Variable seien nur Versionen 3.0.0 bis 3.0.8 und 3.1 bis 3.1.2 betroffen. SWsoft weist darauf hin, dass Version 3.0.9 und die Versionen der 1er- und 2er-Serie die SID-Lücke nicht enthalten. Der Hersteller empfiehlt, ein Update auf die jeweils aktuellen Branch-Versionen 1.6.5, 2.0.15, 3.0.9 oder 3.1.2 durchzuführen und anschließend den Hotfix wie in den Release-Notes beschrieben einzuspielen.

Siehe dazu auch: (cr)

Anzeige
Anzeige