Kurzinfo CB-K17/1003

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: ViPNet Client, ViPNet Coordinator: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Systemrechten
Datum: 16.06.2017
Software: ViPNet Client < 4.3.2 (42442), ViPNet Coordinator < 4.3.2 (42442)
Plattform: Microsoft Windows
Auswirkung: Ausführen beliebigen Programmcodes mit Administratorrechten
Remoteangriff: Nein
Risiko: mittel
CVE Liste: CVE-2017-9606
Bezug: ViPNet VPN Download
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

ViPNet VPN ist eine VPN-Lösung, die im Baukasten-Prinzip konfiguriert werden kann.

Der ViPNet Client ist eine VPN-Nutzer Anwendung, die Funktionen zum Netzwerk-Schutz und zusätzliche Kommunikationsanwendungen, wie verschlüsselten E-Mail-Verkehr, Instant Messaging und Dateiaustausch, beinhaltet.

Der ViPNet Coordinator ist der VPN-Server, der unter anderem Funktionen für Proxy-, Tunnel-, Firewall-, Mail-Server-, und Adressenverwaltungs-Dienste bereitstellt. Er ist die zentrale Anlaufstelle des ViPNet Client und als Anwendung für Windows-Betriebssysteme oder als Virtual- oder Hardware-Appliance verfügbar.

Ein lokaler, einfach authentisierter Benutzer, als Angreifer, kann eine Schwachstelle im Infotecs ViPNet Client und Coordinator ausnutzen, indem er eine gefälschte Trojan Horse ViPNet Update-Datei im ViPNet Update-Verzeichnis platziert, um darin beliebigen Programmcode einzuschleusen, welcher dann durch das ViPNet Update-System mit Systemrechten oder den Rechten eines lokalen Administrators ausgeführt wird. Der Hersteller hat die Schwachstelle bereits mit Version 4.3.2 (42442) behoben. Die Trial-Version 4.6.6 steht seit dem 15.03.2017 als offizielles Release für Microsoft Windows Server 2008 (32/64 Bit), Windows 7 / 8 / 10, Server 2008 R2, Server 2012 (64 Bit), Android (ab Version 4.x) und iOS (ab Version 9.x) zur Verfügung.

  1. ViPNet VPN Download

  2. Schwachstelle CVE-2017-9606 (GitHub )

  3. Schwachstelle CVE-2017-9606 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.