Einspeisung von Befehlen möglich

Sicherheitslücke in AV-Lösung eScan gemeldet

Über eine Sicherheitslücke in MicroWorld eScan for Linux können Angreifer beliebige Befehle einspeisen und ausführen. Die Lücke ist aktuell noch offen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in der aktuellen Version 3 von eScan for Linux auf. Betroffen ist die Administrationsschnittstelle „MWAdmin“.

Durch die gezielte Manipulation des Parameters „uname“ können Angreifer einen Mangel in der Bereinigung von Eingabeparametern in der Datei „forgetpassword.php“ gezielt umgehen und beliebige Befehle einspeisen. Da die Anwendung auf Superuser-Niveau läuft, ist eine Übernahme eines betroffenen Systems möglich. Da kein Patch vorliegt, wird empfohlen, den Zugriff auf MWAdmin mit Bordmitteln wie Firewall einzuschränken. (vgw)