Jeder, der Zugriff auf das Web-Frontend von Request Tracker erhält, kann sich als Benutzer RT_System mit administrativen Rechten anmelden.

Betroffene Systeme

• Systeme, die Request Tracker 2 bis einschließlich Version 2.0.12 verwenden.

Einfallstor
Zugriff auf das Web-Frontend (z.B. über HTTP oder HTTPS). Ein bestehender RT-Zugang ist nicht erforderlich.

Auswirkung
Eine Anmeldung mit dem System-Account RT_System ist möglich. Mit diesen Rechten können u.A. beliebige Änderungen an allen Schlangen vorgenommen werden.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im Ausliererungszustand enthält die Tabelle, mit der Request Tracker die Benutzer verwaltet, kein Paßwort für den internen System-Benutzer RT_System. Es war nie vorgesehen, daß eine Anmeldung als dieser Benutzer möglich ist, dennoch ist dies problemlos möglich. Ein Angreifer, der als RT_System-Benutzer angemeldet ist, kann alle Änderungen vornehmen, die auch ein Request-Tracker-Administrator durchführen kann.

Gegenmaßnahmen

• Upgrade auf Request Tracker 2.2.13
• Alternativ kann mit der folgenden SQL-Anweisung das Leerpaßwort für dem RT_System-Benutzer beseitigt werden:

  UPDATE Users SET Password = '*LOCK*' WHERE Password IS NULL;
  

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/