Sicherheitslücke in Novell Open Enterprise Server 2.x

Ein Update für die Sicherheitslücke steht noch nicht bereit. Die Lücke ist als weniger kritisch eingestuft und der Software-Hersteller hat einen Workaround bereitgestellt. Angreifer können mittels der Lücke gewisse Sicherheitsrichtlinien umgehen.

Auslöser der Schwachstelle sind falsche Rechte des Ordners Group Policy Objects. Es lassen sich darin neue Dateien erstellen oder löschen. Ebenfalls können Nicht-Standard-Dateien verändert werden.

Ein erfolgreicher Angriff setzt voraus, dass eine DSfW-Domäne von einem OES-Domänen-Kontroller gehostet wird und ein Nicht-Standard Group-Policy-Objekt erzeugt wurde. Gemeldet ist die Sicherheitslücke in Version OES2 SP3. Administratoren finden einen Workaround in der Sicherheits-Anweisung des Herstellers: novell.com (jdo)