Beim russischen Anbieter Kaspersky sind neue Sicherheitslücken in einer Server-Software aufgetaucht. Auf diese Bugs hat der Sicherheits-Spezialist Core Security nun in einem Advisory hingewiesen. Betroffen ist die Version 8.0.3.297 in Kaspersky Anti-Virus 8.0 für File Servers des Betriebssystems Linux. Experten berichten von vier auffälligen Mängeln. Diese ermöglichen unter anderem die unbefugte Ausweitung der Nutzerrechte sowie die Ausführung von Remote-Codes ohne Autorisierung. Während Kaspersky diese Sicherheitslücken bereits seit April bekannt sind, werden erst seit wenigen Wochen entsprechende Updates verteilt.
Die Fehler im Einzelnen
Eine der Sicherheitslücken basiert auf mangelnder Neutralisation von Nutzereingaben. Unter dem Code CVE-2017-9813 ist diese Schwachstelle als Cross-Site-Scripting-Bug bekannt geworden. Sein Auftreten hängt damit zusammen, dass die Sicherheits-Software Probleme damit hat, sensible Eingaben durch Nutzer zu neutralisieren. Entweder werden sie überhaupt nicht oder nicht auf hinlängliche Weise neutralisiert. Mit den Nutzereingaben sollen Shell-Skripte konfiguriert werden. Aufgrund der Schwachstelle wird die Einspeisung von Skripten ermöglicht, die schadhafte Codes beinhalten können. Ebenso können diese Skripte sensible Informationen auslesen, wie sie etwa in Cookies gespeichert werden.
Dem Web-Interface der Software mangelt es überdies an Tokens zur Abwehr einer Cross-Site-Request-Forgery. Datendiebstahl oder Remote-Übernahme von Sitzungen am Browser sind eine mögliche Folge. Cyber-Kriminelle können sich auf diese Weise zudem Root-Rechte erschleichen.
Eine weitere Sicherheitslücke zeigt sich, wenn geschützte Verzeichnisse oder Pfadnamen verarbeitet werden. Alle Sicherheits-Schwachstellen sollen sowohl lokal als auch remote ausgenutzt werden können.
Fehlererkennung und Hinweise von Kaspersky
Dem Sicherheits-Anbieter sind die skizzierten Sicherheitslücken und Fehler seit April bekannt. Updates und Patches zur Behebung der Bugs sind seit dem 14. Juni zu haben. Das Sicherheits-Unternehmen Core Security hat die Mängel nun unter Zustimmung von Kaspersky publik gemacht. Laut eigener Aussage Kasperskys finden sich die identifizierten Bugs ausschließlich in der Web-Console der betroffenen Software. Potentiell betroffenen Anwendern wird daher dringend geraten, auf das um die Bugs bereinigte Maintenance Pack 2 Critial Fix 4 (CF 4) aufzurüsten.