Die Sicherheitsfirma Core Security weist auf mehrere
Sicherheitslücken in Kaspkerskys Anti-Virus for Linux File Server hin. In der Version 8.0.3.297 sollen demnach vier Schwachpunkte die Ausführung von Remotecode sowie die Umgehung von Sicherheitsprotokollen ermöglichen.
Zum einen handelt es sich dabei um einen Cross-Site-Scripting-Bug, der auftritt, weil die Anti-Virus-Software Nutzereingaben nicht oder inkorrekt neutralisiert, durch welche Shell-Skripte konfiguriert werden, die bei bestimmten Ereignissen ausgeführt werden sollen. Durch den Bug entsteht die Möglichkeit, dass schädliche Skripte eingeschleust werden.
Ausserdem führt das Fehlen von Anti-Cross-Site-Request-Forgery-Tokens auf dem Web-Interface dazu, dass schädliche Befehle an den Server übermittelt werden können. Dies ermöglicht das Stehlen von Daten, das Übernehmen von Browsers-Sessions bis hin zur Ausweitung der Root-Rechte.
Eine weitere Schwachstelle hat mit der Verarbeitung von Pfadnamen von geschützten Verzeichnissen zu tun. Diese ermöglicht das Auslesen von Dateien mit den Rechten des "klusers". Laut Core Security sind alle Schwachstellen sowohl lokal als auch aus Entfernung ausnutzbar.
Kaspersky weiss zudem seit April von den Sicherheitslücken und verteilt seit dem 14. Juni Patches.
(swe)