Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-764

[Generic/Request Tracker] Anmeldung über Benutzer RT_System ohne Paßwort
(2002-04-02 12:45:56+00)

Quelle: http://lists.fsck.com/pipermail/rt-announce/2002-March/000045.html

Jeder, der Zugriff auf das Web-Frontend von Request Tracker erhält, kann sich als Benutzer RT_System mit administrativen Rechten anmelden.

Betroffene Systeme

Einfallstor
Zugriff auf das Web-Frontend (z.B. über HTTP oder HTTPS). Ein bestehender RT-Zugang ist nicht erforderlich.

Auswirkung
Eine Anmeldung mit dem System-Account RT_System ist möglich. Mit diesen Rechten können u.A. beliebige Änderungen an allen Schlangen vorgenommen werden.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im Ausliererungszustand enthält die Tabelle, mit der Request Tracker die Benutzer verwaltet, kein Paßwort für den internen System-Benutzer RT_System. Es war nie vorgesehen, daß eine Anmeldung als dieser Benutzer möglich ist, dennoch ist dies problemlos möglich. Ein Angreifer, der als RT_System-Benutzer angemeldet ist, kann alle Änderungen vornehmen, die auch ein Request-Tracker-Administrator durchführen kann.

Gegenmaßnahmen

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=764