Jetzt anrufen E-Mail senden Standorte & Kontakt

Meinberg Security Advisory [MBGSA-1701]: LTOS6 Web Interface

18. Dezember 2017

Die Fa. Meinberg informiert über drei Sicherheitslücken und einen Fehler in Bezug auf die Web-Benutzerschnittstelle von Meinberg-Systemen. Im Einzelnen sind dies:
CVE-2017-1678:Beliebige Dateien lesbar Aufgrund einer falsch konfigurierten Webserver Access Control List konnte ein authentifizierter Benutzer, den Inhalt von beliebigen Dateien einzusehen. Dazu gehören auch Dateien, die (verschlüsselte) sicherheitsrelevante Daten enthielten.

CVE-2017-16787: Fehler bei eingeschränktem URL-Zugriff (z.B. direkte Objektreferenz) HTTP / HTTPS-Anfragen haben den direkten Zugriff auf Dateien im Stammverzeichnis des Webservers ohne Authentifizierung ermöglicht, so dass ein Angreifer statistische Daten und statistische Grafiken lesen konnte, ohne gültige Anmeldeinformationen eingeben zu müssen.

CVE-2017-16788: Beliebiger Datei-UploadEin authentifizierter Benutzer war in der Lage, beliebige Dateien hochzuladen und mithilfe einer fehlenden Parametervalidierungsprüfung diese Dateien an einem beliebigen Ort unter Verwendung eines “Directory-Traversal-Angriffs” zu platzieren.

NO-CVE:  Fehler bei der automatischen NTP-Schlüsselerzeugung Bei Verwendung der automatischen NTP-Schlüsselgenerierungsfunktionalität haben ältere Versionen der LTOS6-Firmware neu erstellte Schlüssel an die NTP-Schlüsseldatei angehängt, ohne zu überprüfen, ob die Schlüsselnummern bereits in der selben Datei verwendet werden. Dadurch konnten die vorhandenen Schlüssel weiterhin verwendet werden.

Dieser Fehler betrifft alle LTOS6-Firmware-Versionen vor 6.24.004, die für alle Geräte der Meinberg LANTIME M-Serie (M100, M200, M300, M400, M600, M900) sowie für alle Geräte der IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100).

 Alle drei Schwachstellen und der beschriebene Fehler wurden mit der Firmware-Version 6.24.004 behoben. Diese können Sie sich als Meinberg-Kunden kostenlos unter https://www.meinberg.de/german/sw/firmware.htm downloaden.

Bitte wende Sie sich an unser Kundencenter, falls Sie Unterstützung beim Update benötigen.