Solarwinds stellt aktualisierte Software für die Self-Hosted-Plattform und den Serv-U-FTP-Server bereit. Die Aktualisierungen bessern Schwachstellen aus, die teilweise als kritisch eingestuft werden und Angreifern unter anderem ermöglichen, Schadcode einzuschleusen und auszuführen.
Anzeige
Die Aktualisierung auf die Solarwinds Platform 2024.4 stopft zwei Sicherheitslecks in der Kern-Software und sechs in mitgelieferten Dritthersteller-Komponenten. Laut Release-Notes zur neuen Version ermöglicht ein "nicht kontrolliertes Suchpfad-Element" Angreifern die lokale Rechteausweitung (CVE-2024-45710, CVSS 7.8, Risiko "hoch"). Zudem können bösartige Akteure durch eine Cross-Site-Scripting-Lücke schädliche Skripte beim Editieren von Elementen einschleusen (CVE-2024-45715, CVSS 7.1, hoch).
In mehreren Komponenten von Drittherstellern klaffen zudem Sicherheitslücken. In Lodash.js etwa eine als kritisch eingestufte (CVE-2019-10744, CVSS 9.1), in Moment.js eine hochriskante (CVE-2022-31129, CVSS 7.5) und in Python Tudoor ist ebenfalls eine als hohes Risiko eingestufte Lücke enthalten (CVE-2023-29483, CVSS 7.0). Dazu kommen Lücken in OpenSSL (CVE-2024-2511, CVSS 5.9; CVE-2024-0727, CVSS 5.5) sowie in RabbitMQ (CVE-2023-46118, CVSS 4.9).
IT-Verantwortliche sollten aufgrund des Schweregrads der Lücken zügig die Updates anwenden.
Im FTP-Server Serv-U stopfen die Entwickler zudem zwei Sicherheitslücken. Eine Directory-Traversal-Lücke ermöglicht der Schwachstellenbeschreibung zufolge das Einschmuggeln und Ausführen von Schadcode, abhängig von den Zugangsrechten des authentifizierten Nutzers (CVE-2024-45711, CVSS 7.5, hoch). Außerdem können angemeldete Angreifer eine Cross-Site-Scripting-Lücke missbrauchen, um eine Variable mit schädlichen Inhalten zu modifizieren (CVE-2024-45714, CVSS 5.7, mittel). Betroffen ist Serv-U 15.4.2.3 und ältere Versionen, der jetzt verfügbare Software-Stand 15.5 korrigiert die Fehler.
Anzeige
Details dazu, wie die Sicherheitslücken sich angreifen lassen und wie sich erfolgreiche Attacken möglicherweise erkennen lassen, nennt Solarwinds nicht.
Schwachstellen in Solarwinds-Produkten geraten häufiger ins Visier von Angreifern. Am Mittwoch dieser Woche wurden etwa Attacken auf Solarwinds Web Help Desk bekannt. Die Sicherheitslücke, die die bösartigen Akteure missbrauchen, wurde bereits im August mit Sicherheitsupdates geschlossen. Admins müssen die jedoch auch anwenden, um ihre Instanzen zu schützen.
(
Kommentare