DFN-CERT-2015-0275 Symantec NetBackup OpsCenter Server: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][Unix]

DFN-CERT-2015-0275 Symantec NetBackup OpsCenter Server: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Symantec Veritas NetBackup OpsCenter >= 7.6.0.2
Symantec Veritas NetBackup OpsCenter <= 7.6.1 Betroffene Plattformen: Unix Unix GNU/Linux Durch Ausnutzen dieser Schwachstelle kann ein nicht authentisierter Angreifer, indem er speziell präpariertes Java-Skript an den OpsCenter-Server sendet und somit zur Ausführung bringt, einen Denial-of-Service (DoS)-Angriff durchführen oder sogar die Anwendung komplett übernehmen. Normalerweise sollte der OpsCenter-Server allerdings nur innerhalb eines besonders sicheren Netzwerksegmentes erreichbar sein. NetBackup OpsCenter 7.6.0.1 und frühere sowie alle Versionen auf Windows sind nicht betroffen. Symantec stellt NetBackup OpsCenter 7.6.1.1 zur Verfügung, um diese Schwachstelle zu beheben. Patch: Symantec Security Advisory SYM15-003 http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2015&suid=20150302_00

CVE-2015-1483: Schwachstelle in NetBackup OpsCenter erlaubt Einschleusen von
Java-Skript

Eine Schwachstelle im optionalen Symantec NetBackup OpsCenter besteht in
einer unzureichenden Filterung und Bereinigung von eingehendem
Javascript-Input. Ein im benachbarten Netzwerk befindlicher, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um speziell
formatierte Inhalte einzuschleusen und ausführen zu lassen. Hierdurch kann
es zu einem Verlust oder der Korruption von Daten kommen, ein
Denial-of-Service-Zustand herbeigeführt oder die OpsCenter-Anwendung
komplett kompromittiert werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0275/

Symantec Security Advisory SYM15-003:
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2015&suid=20150302_00

Schwachstelle CVE-2015-1483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1483

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben