Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Sophos Web Appliance Software < 4.3.1.2 Betroffene Plattformen: Sophos Web Appliance Mehrere Schwachstellen in Sophos Web Appliance ermöglichen einem entfernten, nicht authentisierten Angreifer das Injizieren und Ausführen beliebiger Befehle, wenn es diesem gelingt einen als Administrator an einer Sophos Web Appliance angemeldeten Benutzer dazu zu verleiten, einen bösartig präparierten Link anzuklicken oder Formularfelder mit vorbereiteten Eingabedaten auszufüllen. Eine weitere Schwachstelle erlaubt es einem nicht authentisierten Angreifer im benachbarten Netzwerk zudem, in einem Session-Fixation-Angriff Benutzerrechte zu erlangen. Der Hersteller informiert über die Schwachstellen und stellt die Version 4.3.1.2 als Sicherheitsupdate zur Verfügung, das im Verlauf der kommenden Wochen ausgeliefert wird (siehe Blogbeitrag). Patch: Release Notes Sophos Web Appliance 4.3.1.2 http://wsa.sophos.com/rn/swa/concepts/ReleaseNotes_4.3.1.2.html

CVE-2017-6412: Schwachstelle in Sophos Web Appliance ermöglicht
Session-Fixation-Angriff

Es existiert eine nicht näher beschriebene Session-Fixation-Schwachstelle in
Sophos Web Appliance. Gelingt es einem Angreifer, Zugang zum Session-Cookie
eines Benutzers zu erhalten oder dessen Session-ID im Browser neu zu setzen,
kann er sich einer Webanwendung gegenüber als dieser Benutzer ausgeben und
Aktionen mit dessen Identität durchführen. Hierfür muss ein Angreifer mit
dem gleichen Netzwerk verbunden sein. Ein nicht authentifizierter Angreifer
im benachbarten Netzwerk kann so Benutzerrechte erlangen.

CVE-2017-6183: Schwachstelle in Sophos Web Appliance ermöglicht Injektion
beliebiger Befehle

Eine nicht näher beschriebene Schwachstelle in einem
Konfigurations-Dienstprogramm zum Hinzufügen und Entfernen von Active
Directories in Sophos Web Appliance ermöglicht es einem entfernten, nicht
authentisierten Angreifer beliebige Befehle zu injizieren, wenn er einen als
Administrator angemeldeten Benutzer des Systems dazu verleiten kann, einen
speziell präparierten Link anzuklicken oder vorbereitete Formulardaten zu
verwenden.

CVE-2017-6182 CVE-2017-6184 NSWA-1305: Schwachstellen in Sophos Web
Appliance ermöglichen Injektion beliebiger Befehle

Mehrere nicht näher beschriebene Schwachstellen in einer für die Erstellung
von Berichten zuständigen Schnittstelle in Sophos Web Appliances ermöglichen
es einem entfernten, nicht authentisierten Angreifer, beliebige Befehle zu
injizieren (Remote Command Injections). Die Schwachstellen liegen u.a. in
der Verarbeitung von URL-Parametern begründet. Der Angreifer muss zur
Ausnutzung dieser Schwachstlelen einen als Administrator angemeldeten
Benutzer des Systems dazu verleiten, einen speziell präparierten Link
aufzurufen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0560/

Release Notes Sophos Web Appliance 4.3.1.2:
http://wsa.sophos.com/rn/swa/concepts/ReleaseNotes_4.3.1.2.html

Schwachstelle CVE-2017-6182 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6182

Schwachstelle CVE-2017-6183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6183

Schwachstelle CVE-2017-6184 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6184

Schwachstelle CVE-2017-6412 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6412

Sophos Community: Release of SWA v4.3.1.2:
https://community.sophos.com/products/web-appliance/b/blog/posts/release-of-swa-v4-3-1-2

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.