(openPR) softScheck hat in der Open-Source E-Mail und Groupware-Lösung Open-Xchange der Open-Xchange AG eine schwerwiegende Sicherheitslücke des Typs SQL-Injection identifiziert. Ein Angreifer mit einem regulären Benutzer Account kann beliebige Daten aus der Datenbank auslesen und je nach Konfiguration Kontrolle über den Server erlangen.
CVE-ID: CVE-2014-7871
CVSS-Bewertung: 7.6
Details
Die Sicherheitslücke betrifft:
*Open-Xchange App Suite / OX 6 backend 7.6.0-rev22 oder älter
*Open-Xchange App Suite / OX 6 backend 7.4.2-rev35 oder älter
Eine API des Open-Xchange Backends ist für SQL-Injections in jedem der übergebenen JSON-Werte anfällig. Ein XMLHttpRequest mittels PUT mit modifiziertem JSON-Parameter resultiert in Ausführung des injizierten SQL-Befehls. Auch ein unregelmäßiger GET-Request mit angehängten Daten kann für die SQL-Injection verwendet werden. Da die API bei einer gültigen Anfrage keine Ausgabe liefert, muss die SQL-Injection so formuliert werden, dass die gewünschte Abfrage in einer Fehlermeldung wiedergegeben wird.
Auswirkungen
Jeder Benutzer des Systems kann über die Lücke beliebige Daten aus der Datenbank wie z.B Inhal-te von E-Mails, Passworte oder Passworthashes auslesen und schreiben. Ebenfalls können Daten aus dem Dateisystem des Servers gelesen werden. Abhängig von der Konfiguration kann die Lücke in eine Übernahme des Servers resultieren.
Schutzmaßnahmen
Die Sicherheitslücke wurde zeitnah mit Patch Release #2213 behoben. softScheck GmbH empfiehlt dringend den Patch aufzuspielen.
Timeline
07.10.2014 Meldung der Lücke
08.10.2014 Patch Release #2213
Presseinformation
SQL-Injection in Open-Xchange Server / OX AppSuite
Diese Pressemeldung wurde auf openPR veröffentlicht.
Verantwortlich für diese Pressemeldung:
softScheck GmbH
Bonner Straße 108
53757
Sankt Augustin
02241 – 255 43 – 0
02241 – 255 43 – 29
mahtab.delschad@softScheck.com
www.softScheck.com
Mahtab Delschad softScheck GmbH
Tel.: 02241 – 255 43 – 0 Bonner Straße 108
Fax: 02241 – 255 43 – 29 53757 Sankt Augustin
www.softScheck.com
Tel.: 02241 – 255 43 – 0 Bonner Straße 108
Fax: 02241 – 255 43 – 29 53757 Sankt Augustin
www.softScheck.comÜber das Unternehmen
Über softScheck
Die IT-Sicherheitsberatung softScheck GmbH hat sich in den letzten Jahren mit der Identifizierung von bisher nicht-erkannten Sicherheitslücken (Zero-Day-Vulnerabilities) in Software (und auch Hardware) neue, attraktive Wachstumsfelder erschlossen.
softScheck führt regelmäßig Sicherheitsprüfungen von Software und Hardware durch. Daneben bietet softS-check selbstverständlich auch die klassische IT-Sicherheitsberatung an vom Grundschutz (ISO 27000-Familie) bis hin zur Hochsicherheit in der Informationsverarbeitung (Redundanz und Diversität) – auch mit Consulting, Coaching und Forensics.
Die IT-Sicherheitsberatung softScheck GmbH hat sich in den letzten Jahren mit der Identifizierung von bisher nicht-erkannten Sicherheitslücken (Zero-Day-Vulnerabilities) in Software (und auch Hardware) neue, attraktive Wachstumsfelder erschlossen.
softScheck führt regelmäßig Sicherheitsprüfungen von Software und Hardware durch. Daneben bietet softS-check selbstverständlich auch die klassische IT-Sicherheitsberatung an vom Grundschutz (ISO 27000-Familie) bis hin zur Hochsicherheit in der Informationsverarbeitung (Redundanz und Diversität) – auch mit Consulting, Coaching und Forensics.
Pressebericht „SQL-Injection in Open-Xchange Server / OX AppSuite“ bearbeiten oder mit dem "Super-PR-Sparpaket" stark hervorheben, zielgerichtet an Journalisten & Top50 Online-Portale verbreiten:
Disclaimer: Für den obigen Pressetext inkl. etwaiger Bilder/ Videos ist ausschließlich der im Text angegebene Kontakt verantwortlich. Der Webseitenanbieter distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen. Wenn Sie die obigen Informationen redaktionell nutzen möchten, so wenden Sie sich bitte an den obigen Pressekontakt. Bei einer Veröffentlichung bitten wir um ein Belegexemplar oder Quellenennung der URL.
Weitere Mitteilungen von softScheck GmbH
Use Case Ladestationen und Ladekabel
Bei der Cyber Security Prüfung einer Ladestation hat softScheck für Kunden eine Reihe von Sicherheitslücken identifiziert und darüber hinaus bestätigt, dass das Gerät schließlich vor weiteren Angriffsvektoren geschützt ist.
Zunehmend werden Ladestationen von Kriminellen ‚geknackt‘, etwa mittels kopierter Karten. Dies geschieht, weil die Sicherheitsmaßnahmen schlecht, falsch oder generell unzureichend implementiert sind.
Täter haben dazu wohl in vielen Fällen Daten von Zahlungs- und Tankkarten per Skimming ausgespäht – der bisher bekannte Sc…
Use Case Secure Medical Device
Bei der Cyber Security Prüfung eines Laien-Defibrillators hat softScheck für ein Unternehmen der Medizintechnik eine Reihe von Sicherheitslücken identifiziert und darüber hinaus bestätigt, dass das Gerät schließlich vor weiteren Angriffsvektoren geschützt ist. Damit kann das geprüfte System stand-alone und in jeder Art Netz betrieben werden. Durch Static Code Analysis konnten Passwörter im Klartext in einem Firmware-Update identifiziert werden. Dass Passwörter im Klartext anstatt in ihrer gehashten Version gespeichert werden ist eine nicht se…
Das könnte Sie auch interessieren:
Open-Xchange hilft beim Umstieg von Lotus Domino auf Open-Xchange Server
Paderborn, Nürnberg, 12.11.2007 – Die beiden deutschen Softwarehersteller Open-Xchange und PAVONE haben jetzt ein Migrationswerkzeug fertiggestellt, das eine nahtlose Migration von der Groupware-Lösung IBM Lotus Notes/Domino auf Open-Xchange Server 5 ermöglicht.
Der Open-Xchange Server 5 bietet neben Austausch und Verwaltung von E-Mail, Terminen und …
Öffentliche Verwaltungen lieben Open-Xchange
… ein. Die Verwaltungsberufsgenossenschaft Hamburg, die Generalstaatsanwaltschaft Berlin und der Landkreis Märkisch Oderland sind drei Beispiele für den erfolgreichen Einsatz von Open-Xchange Server in öffentlichen Einrichtungen.
Seit Anfang 2007 setzt die Kreisverwaltung im Landkreis Märkisch-Oderland Open-Xchange Server 5 mit Suse Linux Enterprise Linux …
Bull steigt mit Open-Xchange ins SaaS-Geschäft ein
IT-Dienstleister Bull liefert seinen Kunden E-Mail und Groupware von Open-Xchange als Software-as-a-Service- und Inhouse-Lösung
Köln, Nürnberg, 17. Februar 2010 +++ Der Bull-Konzern, in Deutschland mit rund 500 Mitarbeitern vertreten, bietet seinen deutschen Kunden ab sofort auch die Mail- und Groupware-Lösungen von Open-Xchange an. Bull-Kunden können …
Open-Xchange auf der Orbit-iEX
Olpe, 27.4.2006 – Open-Xchange wird erstmals auf einer IT-Messe in der Schweiz vertreten sein. Vom 16.-19. Mai präsentiert der führende Anbieter Linux-basierter Collaboration-Software seine Lösungen auf der Orbit-iEX in Zürich in Halle 3, Stand A10.
Open-Xchange Server bietet neben Austausch und Verwaltung von E-Mail, Terminen und Kontakten auch weitergehende …
Open-Xchange hilft beim Umstieg von Lotus Domino auf Open-Xchange Server - PAVONE unterstützt bei Migration
Paderborn, Nürnberg, 12.11.2007 – Die beiden deutschen Softwarehersteller Open-Xchange und PAVONE haben jetzt ein Migrationswerkzeug fertiggestellt, das eine nahtlose Migration von der Groupware-Lösung IBM Lotus Notes/Domino auf Open-Xchange Server 5 ermöglicht.
Der Open-Xchange Server 5 bietet neben Austausch und Verwaltung von E-Mail, Terminen und …
Franzis: SQL Hacking - Hackerangriffe erkennen, abwehren und Datenbanken schützen
IT-Security: SQL-Injection auf relationale Datenbanken lernen und verstehen
Haar, München, 12.05.2016 - Mit "SQL-Hacking: SQL-Injection auf relationale Datenbanken im Detail lernen, verstehen und abwehren" erscheint aus dem Franzis Verlag das praktische Lehr-, Anleitungs- und Anwendungsbuch, um cyberkriminelle Angriffe durch Hacker auf stationäre und …
Open-Xchange kooperiert mit MySQL AB
Nürnberg, 7.Dezember 2006 – Open-Xchange, Marktführer für linux-basierte Collaboration-Software, ist eine Partnerschaft mit MySQL AB eingegangen, dem Entwickler der weltweit am meisten verbreiteten Open-Source-Datenbank. Die Vereinbarung ermöglicht Open-Xchange die MySQL-Datenbank in seinen Collaboration-Server einzubauen.
Im Rahmen der Unterstützung …
soIT bringt mittelständische Unternehmen mit leistungsstarker Groupware für eine effiziente Teamarbeit voran
… für Open Source Technologien aus Lübeck, unterstützt Unternehmen im Mittelstand mit lizenzfreien, "schlüsselfertigen" Lösungen für die Zusammenarbeit im Team. Open-Xchange ist die Informations- und Wissenszentrale von Unternehmen und verbindet E-Mail, Termin-, Kontakt- und Aufgabenverwaltung mit intelligentem Dokumentenmanagement.
Open-Xchange ist die …
Premiere auf der SYSTEMS - Univention und Open-Xchange stellen Linux-basierte Groupware vor
Nürnberg, Bremen, 23.10.2008 – Open-Xchange wird seine E-Mail- und Groupwarelösung künftig auch in Kombination mit der Betriebssystemplattform Univention Corporate Server 2.1 (UCS) anbieten.
Open-Xchange Appliance Edition kombiniert das Enterprise-Linux-Betriebssystem Univention Corporate Server 2.1 (UCS) mit der Open-Xchange Server Edition. Die integrierte …
Das Bischöfliche Generalvikariat Trier setzt auf den Open-Xchange Server
… reibungslose Kommunikation der Mitarbeiter eine wichtige Rolle. Deshalb nutzen die über 1000 Mitarbeiter seit Jahresbeginn die E-Mail- und Groupwarefunktionalität des Open-Xchange Servers zur Erfüllung ihres kirchlichen Auftrags.
Das Bistum Trier umfasst die ehemaligen rheinlandpfälzischen Regierungsbezirke Trier, teilweise Koblenz sowie das Bundesland …
Sie lesen gerade: SQL-Injection in Open-Xchange Server / OX AppSuite