Alert!

Mehrere Sicherheitslücken in HPs Server-Verwaltung Insight Diagnostics

Kombinieren Angreifer die Lücken, können sie beliebigen Code auf den Servern ausführen. Ein Fix ist noch nicht in Sicht.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge
Von
  • Kristina Beer

Gleich mehrere Sicherheitslücken lauern in HPs Server-Verwaltung Insight Diagnostics. Werden die Lücken miteinander kombiniert, können Angreifer beliebigen PHP-Code mit Administratorrechten auf den Servern ausführen. Bisher ist kein Patch für die Schwachstellen vorhanden.

Die Sicherheitslücken (CVE-2013-3574, CVE-2013-3573 und CVE-2013-3575) betreffen die Version 9.4.0.4710 und vermutlich frühere Versionen des Tools. Die Schwachstellen wurden von Markus Wulftange, einem Mitglied des Offensive-Security-Teams der Daimler TSS, gefunden und gemeldet.

Da es bisher keinen Fix gibt, rät das US-CERT, ab sofort nur Verbindungen von vertrauenswürdigen Hosts und Netzwerken zu erlauben. (kbe)