Sicherheitsforscher von ProSec Networks warnen, die Groupware Open-Xchange Server 6 und OX App Suite sind bis einschließlich Version 7.8.0 verwundbar. Dadurch sind alle Betriebssysteme bedroht, da es sich um eine Webapplikation handelt. Angreifer können über zwei XSS-Lücken Daten löschen und Sessions übernehmen, indem sie aus der Ferne Code auf die Systeme schieben.

Die Angreifer können ohne Authentifizierung Code über die erste Schwachstelle in den Session-Parameter von Download-Anfragen schmuggeln, der dann unter Umständen vom Webbrowser ausgeführt wird. Allerdings müssen die Angreifer das Opfer dazu bewegen auf einen bestimmten Link zu klicken um den Übergriff einzuleiten.

OX App Suite spezifische Daten zu manipulieren ist zwar nicht möglich, allerdings könne ein Angreifer zum Beispiel Cookies stehlen und Umleitungen auf bösartige Hosts realisieren, erläutert ProSec Networks. In den Versionen 7.6.2-rev50, 7.6.3-rev8, 7.8.0-rev26 soll das Problem gelöst sein.

Um die zweite XSS-Lücke zu nutzen, müssen die Angreifer ihren Opfern eine manipulierte Datei unterjubeln. Speichert ein Opfer diese im OX Drive, kann Code mit den Rechten des Opfers ausgeführt werden. Dadurch können Angreifer Sessions übernehmen und Daten löschen. Die abgedichteten Versionen 7.6.2-rev40, 7.6.3-rev7, 7.8.0-rev19 unterbinden dies und stehen ab sofort zum Download bereit.

Seit Mitte März werden ProSec Networks zufolge die Sicherheits-Patches dieses Jahres ausgerollt. 1&1 und andere Großkunden sollen ihre Systeme bereits abgesichert haben.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE