Hewlett-Packards Problem mit der Sicherheit

Jede Software enthält Fehler. Manche davon sind ärgerlich aber harmlos, andere bieten Angreifern die Möglichkeit, den PC mit Schadsoftware zu infizieren oder Daten auszuspähen. Umso wichtiger ist es, dass Software-Hersteller zeitnah auf bekannte Sicherheitslücken reagieren, bevor es die Cyber-Kriminellen tun.

Die Zero Day Initiative (ZDI) hat sich zur Aufgabe gemacht, Informationen über Schwachstellen zu sammeln, zu prüfen und die Hersteller zu informieren. Der Entdecker einer Sicherheitslücke erhält eine finanzielle Anerkennung für seine Arbeit, wenn aufgrund seiner Informationen Fehler behoben werden können.

Die Regeln der Zero Day Initiative sehen vor, dass Informationen zu einer Sicherheitslücke nach einem halben Jahr veröffentlicht werden, wenn der Software-Hersteller das Problem nicht beseitigt. Im Fall von Hewlett-Packards ist das jetzt geschehen. Betroffen sind HP LeftHand Virtual SAN, HP Operations Agent for NonStop, HP Intelligent Management Center, HP iNode Management Center und HP Diagnostics Server. Angreifer können die Lücken ausnutzen, um über spezielle Anfragen beliebigen Code einzuschleusen und auszuführen und System-Rechte erschleichen. Alle Sicherheitslücken sind über das Netzwerk ausnutzbar und haben im Common Vulnerability Scoring System (CVSS) den höchsten Schweregrad 10.

Wann HP die Sicherheitslücken beseitigt, ist nicht bekannt. Nutzer der genannten Produkte sollten sich die Beschreibungen der Schwachstellen genau ansehen und dann entsprechende Schutzmaßnahmen ergreifen. In der Regel sollte es genügen, die angreifbaren Ports durch eine Firewall oder Konfigurationsänderung abzusichern.