Bitdefender stellt für seine Enterprise-Produkte auch einen Update-Server für lokale Netze bereit. Der enthält eine sogenannte Directory-Traversal-Lücke, durch die Angreifer beliebige Dateien auf dem Server einsehen können, warnt Oliver Karow in einer Sicherheitsmeldung.
Karow zufolge läuft der Update-Server http.exe mit den Rechten LocalSystem. Dadurch lassen sich die Dateien auf dem Server-System mit diesen Rechten auslesen. Als Beispiel zum Auslesen der boot.ini nennt der Autor der Sicherheitsmeldung folgende Kommandozeile:
echo -e "GET /../../boot.ini HTTP/1.0\r\n\r\n" | nc <server> <port>Ein Update für BitDefender Security for Fileservers, den Enterprise Manager und die anderen Produkte, die den Update-Server mitbringen, gibt es bislang noch nicht. Bis Bitdefender aktualisierte Software veröffentlicht, sollten Administratoren solch eines Update-Servers die Clients so konfigurieren, dass sie ihre Updates von den Bitdefender-Servern beziehen, und den lokalen Update-Server deaktivieren.
Quelle :
www.heise.de
