Abo
  • Services:

Alte PHP-Versionen: Wenn deine Sicherheitssoftware dich verwundbar macht

Deepsec 2016 Sicherheitssoftware macht die Nutzer sicherer - zumindest in der Theorie. Sicherheitsforscher haben gravierende Sicherheitslücken in einer Firewall-Suite von Kerio aufgedeckt - inklusive einer sechs Jahre alten PHP-Version.

Artikel von veröffentlicht am
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht.
Kerio-Control hat mehrere Sicherheitslücken, einige sind gepatcht. (Bild: Kerio)

Forscher des Unternehmens SEC-Consult haben mehrere Sicherheitslücken in der Sicherheitssuite von Kerio demonstriert. Die Produkte nutzen eine sehr alte Version von PHP, außerdem gibt es mehrere Schwächen im Design der Software. Kerio hat die Sicherheitslücken in der Version 9.1.4 mittlerweile behoben, nur der Webserver läuft weiterhin mit Root-Rechten.

Inhalt:
  1. Alte PHP-Versionen: Wenn deine Sicherheitssoftware dich verwundbar macht
  2. Social Engineering gegen Admins
  3. Schwachstelle aus 2014

Kerio stellt eine ganze Reihe von sicherheitsrelevanten Produkten her, die unter dem Sammelbegriff Kerio Control zusammengefasst werden. Darunter gibt es als Hardware-Appliance umgesetzte Firewalls, Intrusion-Detection- und Prevention-Systeme (IPS), Anti-Virus-Systeme und VPN. Rund 60.000 Unternehmen sollen nach Angaben des Herstellers Kerio-Produkte nutzen.

Die Sicherheitsforscher René Freingruber und Raschin Tavakoli verwiesen auf der Sicherheitskonferenz Deepsec zunächst darauf, dass viele "Sicherheitsprodukte" selbst zum Teil erhebliche Sicherheitsprobleme aufweisen. Googles Sicherheitsforscher Tavis Ormandy hat zahlreiche Lücken in Virenscannern von Norton, Kaspersky, AVG und Comodo gefunden.

Auch in Produkten der Sicherheitsfirma Fireeye wurden schon mehrfach Sicherheitslücken demonstriert, das Unternehmen ging im vergangenen Jahr gegen einen Sicherheitsforscher juristisch vor, nachdem er seine Erkenntnisse veröffentlichen wollte.

Remote Code Execution im Admin-Interface

Stellenmarkt
  1. über duerenhoff GmbH, Raum Karlsruhe
  2. Interhyp Gruppe, München

Grund genug für die Hacker, sich Produkte des Herstellers Kerio genauer anzuschauen. Kerio verwendet nach Angaben der SEC-Forscher eine sechs Jahre alte, nicht mehr unterstützte Version von PHP (Version 5.2.13), was zu mehreren Fehlern unter anderem im Speichermanagement führte. Die Forscher fanden außerdem eine Anfälligkeit für Remote Code Execution (RCE) in der Kerio-Control-Administrationsoberfläche.

Um diesen Exploit zu triggern, sind jedoch mehrere Schritte notwendig. Bereits im Jahr 2015 hat der Sicherheitsforscher Raschin Tavakoli eine Anfälligkeit für Cross-Site-Scripting, eine Remote Code Execution und eine SQL-Injektion in den Kerio-Produkten gefunden.

Social Engineering gegen Admins 
  1. 1
  2. 2
  3. 3
  4.  
Zu den Kommentaren springen
Meistgelesen
  1. Playstation Classic im Test
    Sony schlampt, aber Rettung naht
  2. Fehler, Absturz oder Problem
    Verbotene Wörter im Apple Store
  3. Paketzusteller planen Preiserhöhungen
    Hermes will Lieferung bis zur Haustür verteuern
  4. Audi E-Tron getestet
    Das Elektroauto für den lautlosen Jäger
  5. Meng Wanzhou
    Huaweis Finanzchefin drohen bis zu 30 Jahre Haft
Anzeige
Blu-ray-Angebote
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
Kommentarübersicht
Re: Komponenten aktualisieren stellt sich mancher...
Moe479 17. Nov 2016

also doch den rat der weisen alten greisen regieren lassen ... but, we already got that!?! xD

Gefühlte Sicherheit:
Tigerf 17. Nov 2016

Wir geben einen Haufen Geld aus und betreiben schwer durchschaubare Systeme, deshalb sind...

Meine Rede
Tigerf 17. Nov 2016

Je mehr Systeme und Ebenen eingezogen werden, desto größer die Gefahr. Am besten noch...

Webserver als Root
RipClaw 17. Nov 2016

Das betrachten die nicht als potentielle Sicherheitslücke ? Jeder Systemadministrator der...

Folgen Sie uns
       
Radeon RX 590 - Test

Wir schauen uns AMDs Radeon RX 590 anhand der Nitro+ Special Edition von Sapphire genauer an: Die Grafikkarte nutzt den Polaris 30 genannten Chip, welcher im 12 nm statt im 14 nm Verfahren hergestellt wird.

Radeon RX 590 - Test Video aufrufen
Yuneec
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller

    Active Noise Cancellation
    Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
    Sony-Kopfhörer WH-1000XM3 im Test
    Eine Oase der Stille oder des puren Musikgenusses

    Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
    Ein Test von Ingo Pakalski

      Maschinelles Lernen
      Machine Learning: Wie Technik jede Stimme stehlen kann
      Machine Learning
      Wie Technik jede Stimme stehlen kann

      Ein Unternehmen aus Südkorea arbeitet daran, Stimmen reproduzierbar und neu generierbar zu machen. Was für viele Branchen enorme Kosteneinsparungen bedeutet, könnte auch eine neue Dimension von Fake News werden.
      Ein Bericht von Felix Lill

      1. AWS Amazon bietet seine Machine-Learning-Tutorials kostenlos an
      2. Random Forest, k-Means, Genetik Machine Learning anhand von drei Algorithmen erklärt
      3. Machine Learning Amazon verwirft sexistisches KI-Tool für Bewerber
      1. Themen
      2. A
      3. B
      4. C
      5. D
      6. E
      7. F
      8. G
      9. H
      10. I
      11. J
      12. K
      13. L
      14. M
      15. N
      16. O
      17. P
      18. Q
      19. R
      20. S
      21. T
      22. U
      23. V
      24. W
      25. X
      26. Y
      27. Z
      28. #
       
       
        •  /