Schluderei: HP Web JetAdmin mit 18 Monate alten Lücken

Hewlett-Packards Management-Applikation für Drucker und Printserver weist noch immer einige bereits seit Oktober 2002 bekannte, gravierende Sicherheitslücken auf. Statt an Bugfixes arbeiten die Programmierer aber offenbar lieber an Eastereggs.

Dies lässt zumindest ein Advisory der deutschen Security-Gruppe Phenoelit vermuten, das jetzt in einschlägigen Mailing-Listen veröffentlicht wurde. Es führt elf gravierende Sicherheitslücken von HP Web JetAdmin 6.5 auf, über die Angreifer an Systeminformationen gelangen, Denial-of-Service-Attacken führen oder die Anmeldedaten des Root-Users und der Administratoren abfangen können.

Laut Advisory weiß HP seit dem 28. Oktober 2002 von den Schwachstellen, hat sie aber trotz zweier mittlerweile erfolgter Versionswechsel noch immer nicht alle beseitigt. So kann ein Angreifer unter anderem noch immer an die Passworte gelangen, die nur trivial verschlüsselt werden. Ein Bugfixing scheint nicht an überlasteten Programmieren gescheitert zu sein: Diese waren offensichtlich so gelangweilt, dass sie in die Applikation zwei versteckte Spiele (ein Text-Adventure und ein Hangman-Game) eingebaut haben.

Eine Liste der Web-JetAdmin-Sicherheitslücken finden Sie im Phenoelit-Original-Advisory. Dort können Sie auch nachlesen, wie Sie die auch in den aktuellen Web-JetAdmin-Varianten noch vorhandenen Spiele finden und erfolgreich absolvieren. Damit ein potenzieller Angreifer nicht eben so viel Spaß mit ihren Maschinen hat, sollten Sie allerdings vorerst den Netzwerkzugriff auf HP Web JetAdmin beschränken. Zumindest so lange, bis die HP-Entwickler in einer Spielpause mal Zeit zur Bereitstellung von Patches finden. (jlu)