Menü
Security

Bitdefenders Update-Server lässt sich in die Karten schauen

Von
vorlesen Drucken Kommentare lesen 11 Beiträge

Bitdefender stellt für seine Enterprise-Produkte auch einen Update-Server für lokale Netze bereit. Der enthält eine sogenannte Directory-Traversal-Lücke, durch die Angreifer beliebige Dateien auf dem Server einsehen können, warnt Oliver Karow in einer Sicherheitsmeldung.

Karow zufolge läuft der Update-Server http.exe mit den Rechten LocalSystem. Dadurch lassen sich die Dateien auf dem Server-System mit diesen Rechten auslesen. Als Beispiel zum Auslesen der boot.ini nennt der Autor der Sicherheitsmeldung folgende Kommandozeile: echo -e "GET /../../boot.ini HTTP/1.0\r\n\r\n" | nc

Ein Update für BitDefender Security for Fileservers, den Enterprise Manager und die anderen Produkte, die den Update-Server mitbringen, gibt es bislang noch nicht. Bis Bitdefender aktualisierte Software veröffentlicht, sollten Administratoren solch eines Update-Servers die Clients so konfigurieren, dass sie ihre Updates von den Bitdefender-Servern beziehen, und den lokalen Update-Server deaktivieren.

Siehe dazu auch:

(dmk)