Sicherheitslücke in Novell ZENworks Handheld Management

Auslöser der Sicherheitslücke ist Fehler bei der Überprüfung gewisser Eingaben. Genauer gesagt ist die Bibliothek Common.dll fehlerhaft und das verwundbare Eingabefeld ist messageID. Mit speziellen Paketen an TCP-Port 2398 könnten sich beliebige Dateien erstellen lassen.

Ein erfolgreicher Angriff könnte das Ausführen beliebigen Codes ermöglichen. Allerdings muss der Angreifer den Parameter InstallationID erraten. Die Sicherheitslücke ist für Version 7.0.2.61213 bestätigt. Andere Ausgaben könnten ebenfalls betroffen sein. Ein Update gibt es derzeit nicht. Somit sollte man nur vertrauenswürdigen Anwendern Zugriff gewähren: aluigi.altervista.org (jdo)