Vier bisher unbekannte Schwachstellen wurden in der Dell Sonicwall Email Security Virtual Appliance App von Forschern gefunden bei Digital Defense Inc. Die Forscher festgestellt, die Fehler während neue Audit-Module zu entwickeln für seine patentierte Vulnerability Scanning-Technologie. Die Mängel sollten wegen der leicht zugänglichen Web-Interface im Internet oder Intranet verbundene Anwendung für die App adressiert sofort. Weiter, gibt es ein Potential für Unbefugte vertrauliche Informationen zuzugreifen.
Die Dell Sonicwall Email Security-Plattform kann als Mail Transfer Agent konfiguriert werden (MTA) oder SMTP-Proxy und mit Spam-Schutz, Compliance Scanning, Anti-Malware-und Anti-Virus-Funktionen.
Was ist der Einfluss des Flaws in Dell Sonicwall Email Security-Plattform?
Wenn enden diese Schwachstellen bis in freier Natur ausgebeutet, Worst-Case-Szenario ist, sensible Daten Offenlegung von Admin-Konto Passwort-Hash, beliebige O Befehlsausführung und Löschen von Dateien als ROOT. Schließlich, das Szenario würde mit vollständigem Kompromiss des Gerätes beenden.
Zum Glück, Dell hat sich bereits den Schwachstellen in einem Rollup-Patch 8.3.2 für die Sonicwall Email Security-Plattform. Der Patch ist für die Kunden seit Oktober erhältlich 3, 2016.
Hier eine kurze Zusammenfassung aller vier Sicherheitslücken:
- Authentifizierungs-Bypass in DLoadReportsServlet
- Authentifizierte XML External Entity Injection in known_network_data_import.html
- Authentifizierten Remote Command Execution in manage_ftpprofile.html
- Authentifizierte Willkürliche Löschen von Dateien in policy_dictionary.html
Auswirkung: Sensible Informationen Offenlegung einschließlich Konfigurationsdateien und die SHA1-Hash-Passwort für das Konto admin.
Auswirkung: Offenlegung von Informationen.
Auswirkung: Willkürliche OS Befehlsausführung als root, Voll Kompromiss des virtuellen Appliance.
Auswirkung: Löschen beliebiger Dateien mit Root-Rechten, Denial of Service.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: