DFN-CERT-2014-1578 OpenVAS: Eine Schwachstelle ermöglicht das Ausführen von beliebigen SQL-Befehlen [Linux]

DFN-CERT-2014-1578 OpenVAS: Eine Schwachstelle ermöglicht das Ausführen von beliebigen SQL-Befehlen [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenVAS (Open Vulnerability Assessment System) < 4.0.6 OpenVAS (Open Vulnerability Assessment System) < 5.0.7 Betroffene Plattformen: GNU/Linux Eine Schwachstelle im OpenVAS Manager ermöglicht einem entfernten, authentifizierten Angreifer, beliebige SQL-Befehle zum Auslesen von Daten auszuführen. Patch: OpenVAS Hersteller-Advisory OVSA20141128 http://www.openvas.org/OVSA20141128.html

CVE-2014-9220: Schwachstelle in OpenVAS Manager ermöglicht SQL-Injection

Im OpenVAS Manager werden Zeitzonenparameter in modify_schedule OMP
Kommandos nicht korrekt verarbeitet. Ein entfernter, authentifizierter
Angreifer, der die Rechte zum Ändern von “Schedule Objects” besitzt, kann
diese Schwachstelle ausnutzen, um beliebige SQL-Befehle zum Auslesen von
Daten auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1578/

OpenVAS Hersteller-Advisory OVSA20141128:
http://www.openvas.org/OVSA20141128.html

Schwachstelle CVE-2014-9220 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9220

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben