![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
SR12-160 Novell - ZENworks Asset Management sårbar
Webbkonsol till ZENworks Asset Management 7.5 sårbar för informationsläckage.
Problembeskrivning
CVE-referens: CVE-2012-4933
Juan Vazquez har upptäckt en sårbarhet i ZENworks Asset Managements webbkonsol. Sårbarheten medger bland annat att en extern angripare kan läsa godtyckliga filer med SYSTEM-rättigheter.
Webbkonsolen tillhandahåller Java-applikationen rtrlet. Applikationen innehåller funktionen HandleMaintenanceCalls() som i sin tur implementerar en rad anrop (maintenance requests). Två att dessa anrop använder hårdkodade användarnamn och lösenord, något som kan utnyttjas för att läsa godtyckliga filer på systemet och komma över känsliga konfigurationsparametrar.
I skrivande stund finns ingen programrättning tillgänglig. En tillfällig lösning kan vara att kraftigt begränsa tillgången till webbkonsolen (med lämpliga brandväggregler).
Påverkade versioner
- Novell ZENworks Asset Management 7.5