Die Veröffentlichung der neuen Version der Unified-Threat-Management-Lösung (Sophos UTM) hat insgesamt drei Sicherheitslücken beseitigt. In einem Security Advisory warnt das CERT des Deutschen Forschungsnetzes (DFN-CERT) davor, dass sie von einem entfernten, nicht authentisierten Angreifer missbraucht werden können, um „Benutzernamen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen“.

Zwei der Lücken basieren auf Drittanbieterkomponenten: CVE-2018-17199 steckte in Apache HTTP Server Release bis einschließlich 2.4.37 und CVE-2018-15473 bezeichnet eine im August vergangenen Jahres geschlossene Lücke im Fernzugriffs- und Dateiübertragungstool OpenSSH. Die National Vulnerability Database stuft erstere als „High“ und letztere mittels CVSS-v3-Score als „Medium“ ein.

In seinen Release-Notes nutzt Sophos für die dritte Scherheitslücke den internen Bezeichner NUTM-10480 und schreibt dazu lediglich, dass über sie Cross-Site-Scripting-Angriffe möglich seien.

Derzeit können Nutzer Version 9.602 manuell herunterladen. Die neue Version soll später automatisch über Sophos‘ Up2Date-Server verteilt werden. Aus den Release-Notes geht allerdings nicht hervor, wann dies geschehen soll. Es wird vom Hersteller darauf hingewiesen, dass während des Update-Prozesses ein Neustart erfolgt.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE