2017-2266: Meinberg LANTIME Firmware LTOS6: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen beliebiger Systemdaten

Historie:

Version 1 (2017-12-13 19:21)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
Meinberg

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in der Meinberg LANTIME Firmware LTOS6 ausnutzen, um Zugriff auf beliebige Systemdateien zu erhalten und veraltetes Schlüsselmaterial weiterzuverwenden. Eine weitere Schwachstelle ermöglicht einem Benutzer mit der Berechtigung, Gruppenschlüssel zu ändern das Hochladen beliebiger Daten in beliebige Systemverzeichnisse und darüber die Eskalation seiner Privilegien bis hin zu 'root'-Rechten auf dem unterliegenden Betriebssystem.

Der Hersteller informiert über die Schwachstellen in Geräten der Meinberg LANTIME M-Serie, der IMS-Serie sowie der SyncFire-Produktfamilie und stellt die Version 6.24.004 der LTOS6-Firmware zur Verfügung. Die Firmware sollte schnellstmöglich eingespielt werden. Meinberg verwendet in seinem Sicherheitshinweis den Schwachstellenbezeichner CVE-2017-1678 fehlerhaft, wahrscheinlich ist an entsprechender Stelle CVE-2017-16787 gemeint (es gibt anscheinend nur diesen einen Bezeichner für die beiden Probleme im Kontext der Offenlegung von Informationen).

Schwachstellen:

CVE-2017-16787

Schwachstellen in Meinberg LANTIME Firmware LTOS6 ermöglichen Ausspähen von Informationen

CVE-2017-16788

Schwachstelle in Meinberg LANTIME Firmware LTOS6 ermöglicht Manipulation von Daten

MBGSA-1701-NO-CVE

Schwachstelle in Meinberg LANTIME Firmware LTOS6 ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.