2017-1036: ViPNet Client, ViPNet Coordinator: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Systemrechten

Historie:

Version 1 (2017-06-16 14:09)

Neues Advisory

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Microsoft

Beschreibung:

Ein lokaler, einfach authentisierter Benutzer, als Angreifer, kann eine Schwachstelle im Infotecs ViPNet Client und Coordinator ausnutzen, indem er eine gefälschte Trojan Horse ViPNet Update-Datei im ViPNet Update-Verzeichnis platziert, um darin beliebigen Programmcode einzuschleusen, welcher dann durch das ViPNet Update-System mit Systemrechten oder den Rechten eines lokalen Administrators ausgeführt wird.

Der Hersteller hat die Schwachstelle bereits mit Version 4.3.2 (42442) behoben. Die Trial-Version 4.6.6 steht seit dem 15.03.2017 als offizielles Release für Microsoft Windows Server 2008 (32/64 Bit), Windows 7 / 8 / 10, Server 2008 R2, Server 2012 (64 Bit), Android (ab Version 4.x) und iOS (ab Version 9.x) zur Verfügung.

Schwachstellen:

CVE-2017-9606

Schwachstelle in ViPNet Client / Coordinator ermöglicht Ausführung beliebigen Programmcodes mit Systemrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.