Der Hersteller Atos warnt vor einer kritischen Sicherheitslücke in Unify OpenScape 4000 Assistant sowie Manager. In den Unified-Messaging-Kommunikationssystemen findet sich eine sogenannte Command-Injection-Lücke, durch die unangemeldete Angreifer beliebige Dateien einschleusen und ihre Rechte am System ausweiten können. Der Hersteller stellt Updates und Workarounds bereit. Atos stuft die Lücke als kritisch ein und vergibt einen CVSS-Wert von 9.8. Wenden Administratoren die vorgeschlagenen Gegenmaßnahmen an, sinkt der Wert auf CVSS 8.6 mit dem Risiko hoch. IT-Verantwortliche fahren daher am besten damit, die bereitgestellten Aktualisierungen zeitnah herunterzuladen und zu installieren. In der Sicherheitsmeldung zählt Atos als betroffene Systeme Unify OpenScape 4000 Assistant V8 und V10 vor V8 R2.22.18, V10 R0.28.13 und V10 R1.34.4 sowie Unify OpenScape 4000 Manager V8 und V10 vor den Releases V8 R2.22.18, V10 R0.28.13 und V10 R1.34.4 auf. Hotfixes stehen bereit, die Administratoren dieser Kommunikationssoftware auf den ihnen bekannten Wegen herunterladen können. Sollte das Installieren der Hotfixes nicht möglich sein, erklärt Atos, dass IT-Verantwortliche die Administratorschnittstelle der OpenScape 4000 nicht im Internet zugänglich machen sollen. Den Zugang zur Verwaltungsoberfläche sollten Administratoren zudem auf bekannte IP-Netze und Host-IPs beschränken, die Zugriff benötigten. Den Zugriff auf den Administrator-Port sollten Admins mit externer Firewall begrenzen. Zuletzt schreibt Atos, solle der Zugang zum Administratorport nur durch Change-Management-Prozeduren gewährt werden, sollte dieser nötig sein.

Quelle: Heise