VulDB: NetIQ WebTrends 6.x Reporting Center /viewreport.pl profileid Fehlerhafte Leserechte
Allgemein
scipID: 488
Betroffen: NetIQ WebTrends 6.x Reporting Center
Veröffentlicht: 20.01.2004 (Oliver Karow)
Risiko: 
problematisch
Eintrag: 92.4% komplett
Erstellt: 21.01.2004
Aktualisiert: 03.09.2012
Beschreibung
Das WebTrends Reporting Center kann mittels einem Webbrowser über die Webschnittstelle administriert werden. Das Perl-Skript /viewreport.pl weist einen Fehler auf, durch den ein Angreifer in den Besitz des Wissens um den Pfad der Applikation kommen kann. Dadurch muss dem Parameter profileid= eine nicht existierende Datei übergeben werden. Das System antwortet sodann mit einer Fehlermeldung im Stil von “Unable to load language file – path=(C:/Programs/WEBTE~1/)” [siehe http://www.oliverkarow.de/research/WT.jpg]. Ein Angreifer kann dieses Wissen für weitere Auswertungen und Angriffe gebrauchen. Laut Posting auf Bugtraq wurde der Hersteller am 05. Januar 2004 über die Existenz der Sicherheitslücke informiert und bestätigte den Erhalt der Nachricht. Seitdem ist jedoch laut Oliver Karow nichts weiter passiert. Als Workaround wird empfohlen den Zugriff auf das verwundbare Skript mittels Firewalling einzuschränken. NetIQ wird voraussichtlich den Fehler mit einem Patch oder dedizierten Workaround beheben. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (3680), Secunia (SA10689), SecurityFocus (BID 9460) und SecurityTracker (ID 1008799) dokumentiert.
Im hart umkämpften Software-Markt zählt vor allem eins als Verkaufsargument: Komfort für die Benutzer. Leider vergessen die Entwickler von Software oft, dass Komfort nicht auf Kosten der Sicherheit gehen darf. So auch in diesem Fall. Die freizügigen Informationen sollten den Administratoren des Systems möglichst viele Informationen für die Fehlerbehebung liefern. Diese Daten können jedoch auch von Angreifern für ihre Zwecke genutzt werden. Solche Schwachstellen kommen immerwieder vor. Sie sind zwar nicht wirklich problematisch, aber dennoch ein Schönheitsfehler, auf den man hätte verzichten können.
CVSS
Base Score: 2.1 (CVSS2#AV:N/AC:H/Au:S/C:P/I:N/A:N) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Fehlerhafte Leserechte
Auswirkungen: sensitive Daten lesen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Download: server
Gegenmassnahmen
Empfehlung: Firewall
0-Day Time: 0 Tage seit gefunden
Patch: netiq.com
Timeline
20.01.2004 | Advisory veröffentlicht
21.01.2004 | OSVDB Eintrag erstellt
21.01.2004 | VulDB Eintrag erstellt
08.11.2007 | CVE zugewiesen
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: securityfocus.com
Person: Oliver Karow
OSVDB: 3680
CVE: CVE-2004-2748 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 10689
SecurityFocus: 9460
SecurityTracker: 1008799
Diverses: oliverkarow.de
