Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.701.081 Produkten

Fabian A. Scherschel 78

Alert Reddoxx: Angreifer können TÜV-geprüfte Mail-Archivierungssoftware kapern

Reddoxx: Angreifer können TÜV-geprüfte Mail-Archivierungssoftware kapern

Ein einfacher Ping-Befehl, der über ein Admin-Interface ausgelöst wird lässt sich von jedermann aus der Ferne missbrauchen, um beliebigen Code auszuführen. So können Angreifer die E-Mail-Software für rechtssichere Archivierung übernehmen.

Mit Reddoxx können Firmen ihre E-Mails rechtssicher speichern und laut Hersteller beim Empfang der Mails vor Spam und Ransomware schützen. Nutzer der vom TÜV Saarland geprüften Software sollten allerdings unbedingt sicherstellen, dass sie mindestens Version 2032 SP2 einsetzen. Die Sicherheitsfirma RedTeam aus Aachen hat nämlich im Auftrag eines Kunden bei einem Penetration-Test der Software sieben Sicherheitslücken gefunden und dazu Details veröffentlicht, die der Hersteller mit dieser Version geschlossen hat.

Anzeige

Die brisanteste der Sicherheitslücken missbraucht ein öffentlich zugängliches Interface der Administrationsfunktionen der Software, um beliebige Befehle auszuführen. Der Angreifer muss dafür nicht am System angemeldet sein. Das ist möglich, weil sich ein einfacher Aufruf des Ping-Befehls missbrauchen lässt. Durch einen Fehler in der Umsetzung des Befehlsaufrufs kann ein Angreifer beliebige andere Befehle anhängen. Zu allem Überfluss werden diese auch noch mit Root-Rechten ausgeführt – der Angreifer kann also das System komplett übernehmen.

Weitere von RedTeam gefundene Lücken betreffen einen nicht dokumentierten Administrator-Account, mit dem Angreifer sich mit Admin-Rechten anmelden können. Außerdem ist es möglich, unberechtigter Weise Daten aus dem System auszulesen, auf geschützte Funktionen zuzugreifen und Cross-Site-Scripting-Angriffe durchzuführen. Eine Liste aller von RedTeam in Reddoxx entdeckten Lücken findet sich in der Liste der Advisories der Firma. (fab)

78 Kommentare

Themen:

Anzeige
  1. Shibboleth 2: Update behebt Authentifizierungs-Schwachstelle

    Shibboleth: Update schließt Authentifizierungs-Lücke

    Ältere Versionen der Service-Provider-Komponente von Shibboleth 2 enthalten einen fehleranfälligen Parser, der Angreifern unter bestimmten Voraussetzungen den Zugriff auf fremde Benutzerkonten ermöglichen kann. Aktualisierungen sind verfügbar.

  2. Sicherheitsupdates: Cisco kämpft gegen statische und unverschlüsselte Zugangsdaten

    Sicherheitsupdates: Cisco kämpft gegen statische und unverschlüsselte Zugangsdaten

    Der Netzwerkausrüster stopft zum Teil kritische Sicherheitslücken in seinem Elastic Services Controller und seinem Ultra Services Framework.

  3. My Cloud: Netzwerkspeicher von Western Digital via Backdoor angreifbar

    My Cloud: Netzwerkspeicher von Western Digital via Backdoor angreifbar

    Besitzer eines "My Cloud"-Netzwerkspeichers sollten diesen bis auf weiteres vom Internet trennen: Die Firmware zahlreicher Modelle ermöglicht offenbar das Login mit hardgecodeten Default-Zugangsdaten aus der Ferne. Patches stehen seit langem aus.

  4. Root für jeden: Schwachstelle in macOS High Sierra schon länger öffentlich

    Root High Sierra

    In Apples Entwicklerforum wurde die gravierende Schwachstelle bereits vor über zwei Wochen als harmloser Tipp gehandelt. Die Lücke kann auch entfernten Angreifern ermöglichen, Root zu werden.

  1. Prozessor-Sicherheitslücke: So finden Sie heraus, ob Sie gegen Meltdown und Spectre geschützt sind

    Milliarden PCs sind von den Sicherheitslücken Meltdown und Spectre betroffen. Ob Ihr PC sicher ist, finden Sie mit unserer Anleitung heraus.

  2. Sicher surfen in öffentlichen WLAN-Netzen

    Wussten Sie, dass öffentliche WLAN-Netze alles andere als sicher sind? Wir zeigen Ihnen, wie Sie sie nutzen können, ohne sich Sorgen machen zu müssen.

  3. Glossar: Die wichtigsten Begriffe rund um macOS

    In der Hintergrundreihe „macOS intern“ blickt Mac & i ab Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend dazu stellen wir hier ein Glossar mit den wichtigsten Fachbegriffen zur Verfügung. Es wird mit jedem Artikel entsprechend erweitert.

  1. DSGVO: Folterfragebogen im Selbsttest

    DSGVO: Folterfragebogen im Selbsttest

    Die neue EU-Datenschutzgrundverordnung tritt im Mai in Kraft. Sie bringt Verbrauchern neue Rechte und Unternehmen neue Pflichten. c't gibt einen Überblick, hilft Verbrauchern, ihre Rechte geltend zu machen - und testet das Prozedere für Unternehmen.

  2. Nervöse Nerds: Bill Gates in The Big Bang Theory

    Bill Gates

    Sheldon-Fans dürften unruhig werden: Der ehemalige Microsoft-Chef ist für eine Folge der Nerd- und Physiker-Sitcom angekündigt.

  3. SpotMini: Roboter lässt sich von Mensch nicht aufhalten

    Boston Dynamics: Roboter SpotMini öffnet Tür trotz Widerstand

    Ein Mensch hindert den Roboter SpotMini von Boston Dynamics mit Hockeyschläger und Seil beim öffnen einer Tür: Wie ein neues Video zeigt, wehrt sich der Roboterhund regelrecht und gibt nicht auf.

  4. Assassin's Creed Origins: Spielmodus "Entdeckungstour" macht antikes Ägypten frei erkundbar

    Assassin's Creed Origins: Spielmodus "Entdeckungstour" macht antikes Ägypten frei erkundbar

    Die Spielwelten zählten schon immer zu den Stärken der Assassin's-Creed-Reihe. Bei Origins trifft das besonders zu: Das wunderschön gestaltete antike Ägypten kann man jetzt in 75 vertonten Touren ungestört erkunden.

Anzeige