SQL-Injection in Open-Xchange Server / OX AppSuite
ID: 1121033
CVE-ID: CVE-2014-7871
CVSS-Bewertung: 7.6
Details
Die Sicherheitslücke betrifft:
Open-Xchange App Suite / OX 6 backend 7.6.0-rev22 oder älter
Open-Xchange App Suite / OX 6 backend 7.4.2-rev35 oder älter
Eine API des Open-Xchange Backends ist für SQL-Injections in jedem der übergebenen JSON-Werte anfällig. Ein XMLHttpRequest mittels PUT mit modifiziertem JSON-Parameter resultiert in Ausführung des injizierten SQL-Befehls. Auch ein unregelmäßiger GET-Request mit angehängten Daten kann für die SQL-Injection verwendet werden. Da die API bei einer gültigen Anfrage keine Ausgabe liefert, muss die SQL-Injection so formuliert werden, dass die gewünschte Abfrage in einer Fehlermeldung wiedergegeben wird.
Auswirkungen
Jeder Benutzer des Systems kann über die Lücke beliebige Daten aus der Datenbank wie z.B Inhal-te von E-Mails, Passworte oder Passworthashes auslesen und schreiben. Ebenfalls können Daten aus dem Dateisystem des Servers gelesen werden. Abhängig von der Konfiguration kann die Lücke in eine Übernahme des Servers resultieren.
Schutzmaßnahmen
Die Sicherheitslücke wurde zeitnah mit Patch Release #2213 behoben. softScheck GmbH empfiehlt dringend den Patch aufzuspielen.
Timeline
07.10.2014 Meldung der Lücke
08.10.2014 Patch Release #2213
Unternehmensinformation / Kurzprofil:
Über softScheck
Die IT-Sicherheitsberatung softScheck GmbH hat sich in den letzten Jahren mit der Identifizierung von bisher nicht-erkannten Sicherheitslücken (Zero-Day-Vulnerabilities) in Software (und auch Hardware) neue, attraktive Wachstumsfelder erschlossen.
softScheck führt regelmäßig Sicherheitsprüfungen von Software und Hardware durch. Daneben bietet softS-check selbstverständlich auch die klassische IT-Sicherheitsberatung an vom Grundschutz (ISO 27000-Familie) bis hin zur Hochsicherheit in der Informationsverarbeitung (Redundanz und Diversität) – auch mit Consulting, Coaching und Forensics.
Mahtab Delschad
softScheck GmbH
Bonner Straße 108
Sankt Augustin
mahtab.delschad(at)softScheck.com
Tel.: 02241 – 255 43 – 0
Fax: 02241 – 255 43 – 29 53757
Datum: 14.10.2014 - 09:45 Uhr
Sprache: Deutsch
News-ID 1121033
Anzahl Zeichen: 1726
Kontakt-Informationen:
Ansprechpartner: Mahtab Delschad
Stadt:
Sankt Augustin
Telefon: +4922412554311
Kategorie:
Datensicherheit
Meldungsart: Messeinformation
Versandart: Veröffentlichung
Freigabedatum: 14.10.2014
Diese Pressemitteilung wurde bisher 1041 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"SQL-Injection in Open-Xchange Server / OX AppSuite"
steht unter der journalistisch-redaktionellen Verantwortung von
softscheck GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
