You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1052

[Generic/CommuniGate Pro] Auslesen von Dateien uebers Web-Frontend
(2003-01-08 17:46:45.017024+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2003/01/msg00052.html

Über das Web-Frontend von Communigate Pro ist es möglich, Dateien auszulesen, auf die der Web-Server-Prozeß Zugriff hat.

Betroffene Systeme

  • CommuniGate Pro 4.0b bis 4.0.2

Nicht betroffene Systeme

  • CommuniGate Pro 4.0.3

Einfallstor
Anfrage an das Web-Frontend über HTTP (TCP-Port 80) oder HTTPS (TCP-Port 443)

Auswirkung
Der Angreifer kann beliebige Dateien auf dem Server auslesen, auf die der Server-Prozeß Zugriff hat.

Typ der Verwundbarkeit
directory traversal bug

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
CommuniGate Pro ist ein Mail-Server, der u.a. Zugang per POP3, IMAP und ein Web-Frontend anbietet.

Beschreibung
Mittels spezieller GET-Requests der Form "GET /DomainFiles/*//../../../../etc/passwd HTTP/1.0" ist es möglich, beliebige Dateien auf dem CommuniGate-Pro-Server auszulesen, sofern das Betriebssystem dies nicht verhindert. Unglücklicherweise wird CommuniGate Pro häufig so installiert, daß der Web-Server-Prozeß mit root-Rechten läuft. In solchen Fällen ist das Auslesen beliebiger Dateien möglich (einschließlich /etc/shadow mit Paßwort-Hashes).

Gegenmaßnahmen

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.