Menü

SonicWall schließt Lücke im Global-VPN-Client

Lesezeit: 1 Min.
In Pocket  speichern vorlesen Drucken Kommentare lesen
Von

Anwender von SonicWALLs Global VPN Client sollten dazu passende Konfigurationsdateien nur aus vertrauenswürdigen Quellen installieren – sonst droht möglicherweise Ungemach. In der Software steckt nämlich eine Format-String-Schwachstelle, mit der Angreifer mittels präparierter Konfigurationsdateien einen Rechner mit Schädlingen infizieren können. Der Fehler tritt beim Parsen der Namen des Connection- und Hostname-Tags auf. Der Bericht von SEC-Consult zu dem Problem enthält einen Proof-of-Concept-Exploit.

Betroffen sind alle Versionen vor 4.0.0.830. Laut Bericht genügt für einen erfolgreichen Angriff bei den Versionen 4.x ein Doppelklick auf die Konfigurationsdatei, während bei der Version 3.x ein Verbindungsaufbau starten muss. Im SonicWall VPN-Client 4.0.0.830 ist der Fehler nicht mehr zu finden.

Siehe dazu auch:

(dab)