...

14.10.2014

SQL-Injection in Open-Xchange Server / OX AppSuite

softScheck hat in der Open-Source E-Mail und Groupware-L�sung Open-Xchange der Open-Xchange AG eine schwerwiegende Sicherheitsl�cke des Typs SQL-Injection identifiziert. Ein Angreifer mit einem regul�ren Benutzer Account kann beliebige Daten aus der Datenbank auslesen und je nach Konfiguration Kontrolle �ber den Server erlangen.
CVE-ID: CVE-2014-7871
CVSS-Bewertung: 7.6
Details
Die Sicherheitsl�cke betrifft:
 Open-Xchange App Suite / OX 6 backend 7.6.0-rev22 oder �lter
 Open-Xchange App Suite / OX 6 backend 7.4.2-rev35 oder �lter
Eine API des Open-Xchange Backends ist f�r SQL-Injections in jedem der �bergebenen JSON-Werte anf�llig. Ein XMLHttpRequest mittels PUT mit modifiziertem JSON-Parameter resultiert in Ausf�hrung des injizierten SQL-Befehls. Auch ein unregelm��iger GET-Request mit angeh�ngten Daten kann f�r die SQL-Injection verwendet werden. Da die API bei einer g�ltigen Anfrage keine Ausgabe liefert, muss die SQL-Injection so formuliert werden, dass die gew�nschte Abfrage in einer Fehlermeldung wiedergegeben wird.
Auswirkungen
Jeder Benutzer des Systems kann �ber die L�cke beliebige Daten aus der Datenbank wie z.B Inhal-te von E-Mails, Passworte oder Passworthashes auslesen und schreiben. Ebenfalls k�nnen Daten aus dem Dateisystem des Servers gelesen werden. Abh�ngig von der Konfiguration kann die L�cke in eine �bernahme des Servers resultieren.
Schutzma�nahmen
Die Sicherheitsl�cke wurde zeitnah mit Patch Release #2213 behoben. softScheck GmbH empfiehlt dringend den Patch aufzuspielen.
Timeline
07.10.2014 Meldung der L�cke
08.10.2014 Patch Release #2213









Firma: softscheck GmbH

Kontakt-Informationen:
Ansprechpartner: Mahtab Delschad
Stadt: Sankt Augustin
Telefon: +4922412554311


Dieser Beitrag kommt von interexpo
https://www.interexpo.de

Die URL für diesen Beitrag ist:
https://www.interexpo.de/messenews1121033.html