Mit einem Service-Pack schließt der Hersteller Progress drei Sicherheitslücken in der Software MOVEit Transfer, wovon zwei davon als hochriskant eingestuft wurden. Bereits in der Vergangenheit wurde MOVEit Transfer von Cyberkriminellen ins Visier genommen. IT-Verantwortliche sollten die Aktualisierungen zügig anwenden.

In der Maschinenschnittstelle können authentifizierte Angreifer eine SQL-Injection-Schwachstelle missbrauchen, um unbefugten Zugriff auf die MOVEit-Transfer-Datenbank zu erlangen. Darüber können sie Daten lesen oder sogar verändern (CVE-2023-42660, CVSS 8.8, Risiko "hoch"). Im Web-Interface der Software findet sich eine ähnliche Lücke. Mit manipulierten Anfragen könnten System-Administratoren über eine SQL-Injection-Lücke Inhalte aus der Datenbank offenlegen oder verändern (CVE-2023-40043, CVSS 7.2, hoch).

Die Service-Pack-Ankündigung von Progress beschreibt eine dritte Sicherheitslücke als Cross-Site-Scripting-Schwachstelle. Angreifer könnten während einer sogenannten Package-Composition-Prozedur Nutzern manipulierte Inhalte im Web-Interface unterschieben, was zur Ausführung etwa von bösartigem Javascript im Nutzerkontext führen kann (CVE-2023-42656, CVSS 6.1, mittel).

In MOVEit Transfer 2021.1.8 (13.1.8), 2022.0.8 (14.0.8), 2022.1.9 (14.1.9) und 2023.0.6 (15.0.6) sollen die sicherheitsrelevanten Fehler behoben sein. Die Progress-Entwickler haben in der Ankündigung Anleitungen und Downloads zu den aktualisierten Paketen verlinkt.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE