• IT-Karriere:
  • Services:

Alte PHP-Versionen: Wenn deine Sicherheitssoftware dich verwundbar macht

Deepsec 2016 Sicherheitssoftware macht die Nutzer sicherer - zumindest in der Theorie. Sicherheitsforscher haben gravierende Sicherheitslücken in einer Firewall-Suite von Kerio aufgedeckt - inklusive einer sechs Jahre alten PHP-Version.

Artikel von veröffentlicht am
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht.
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht. (Bild: Kerio)

Forscher des Unternehmens SEC-Consult haben mehrere Sicherheitslücken in der Sicherheitssuite von Kerio demonstriert. Die Produkte nutzen eine sehr alte Version von PHP, außerdem gibt es mehrere Schwächen im Design der Software. Kerio hat die Sicherheitslücken in der Version 9.1.4 mittlerweile behoben, nur der Webserver läuft weiterhin mit Root-Rechten.

Inhalt:
  1. Alte PHP-Versionen: Wenn deine Sicherheitssoftware dich verwundbar macht
  2. Social Engineering gegen Admins
  3. Schwachstelle aus 2014

Kerio stellt eine ganze Reihe von sicherheitsrelevanten Produkten her, die unter dem Sammelbegriff Kerio Control zusammengefasst werden. Darunter gibt es als Hardware-Appliance umgesetzte Firewalls, Intrusion-Detection- und Prevention-Systeme (IPS), Anti-Virus-Systeme und VPN. Rund 60.000 Unternehmen sollen nach Angaben des Herstellers Kerio-Produkte nutzen.

Die Sicherheitsforscher René Freingruber und Raschin Tavakoli verwiesen auf der Sicherheitskonferenz Deepsec zunächst darauf, dass viele "Sicherheitsprodukte" selbst zum Teil erhebliche Sicherheitsprobleme aufweisen. Googles Sicherheitsforscher Tavis Ormandy hat zahlreiche Lücken in Virenscannern von Norton, Kaspersky, AVG und Comodo gefunden.

Auch in Produkten der Sicherheitsfirma Fireeye wurden schon mehrfach Sicherheitslücken demonstriert, das Unternehmen ging im vergangenen Jahr gegen einen Sicherheitsforscher juristisch vor, nachdem er seine Erkenntnisse veröffentlichen wollte.

Remote Code Execution im Admin-Interface

Stellenmarkt
  1. LÖWEN ENTERTAINMENT GmbH, Rellingen
  2. TOPdesk Deutschland GmbH, Kaiserslautern

Grund genug für die Hacker, sich Produkte des Herstellers Kerio genauer anzuschauen. Kerio verwendet nach Angaben der SEC-Forscher eine sechs Jahre alte, nicht mehr unterstützte Version von PHP (Version 5.2.13), was zu mehreren Fehlern unter anderem im Speichermanagement führte. Die Forscher fanden außerdem eine Anfälligkeit für Remote Code Execution (RCE) in der Kerio-Control-Administrationsoberfläche.

Um diesen Exploit zu triggern, sind jedoch mehrere Schritte notwendig. Bereits im Jahr 2015 hat der Sicherheitsforscher Raschin Tavakoli eine Anfälligkeit für Cross-Site-Scripting, eine Remote Code Execution und eine SQL-Injektion in den Kerio-Produkten gefunden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Social Engineering gegen Admins 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)

Moe479 17. Nov 2016

also doch den rat der weisen alten greisen regieren lassen ... but, we already got that!?! xD

Tigerf 17. Nov 2016

Wir geben einen Haufen Geld aus und betreiben schwer durchschaubare Systeme, deshalb sind...

Tigerf 17. Nov 2016

Je mehr Systeme und Ebenen eingezogen werden, desto größer die Gefahr. Am besten noch...

RipClaw 17. Nov 2016

Das betrachten die nicht als potentielle Sicherheitslücke ? Jeder Systemadministrator der...


Folgen Sie uns
       


Macbook Pro 16 Zoll - Test

Das Macbook Pro 16 stellt sich in unserem Test als eine echte Verbesserung dar. Das liegt auch daran, dass Apple einen Schritt zurückgeht, das Butterfly-Keyboard fallenlässt und die physische Escape-Taste zurückbringt.

Macbook Pro 16 Zoll - Test Video aufrufen
Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

    •  /