Reflektiertes Cross-Site-Scripting“-Sicherheitslücke (XSS) in Veritas Desktop and Laptop Option (DLO)

Bisherige Aktualisierungen

• 1.0: 5. September 2022: Erste Version
• 1.1: 11. Oktober 2022: CVE-ID hinzugefügt

Zusammenfassung

In der Desktop and Laptop Option (DLO) wurde eine „Reflektiertes Cross-Site-Scripting“-Sicherheitslücke gefunden.

Problem

• CVE ID: CVE-2022-41319
• Schweregrad: mittel
• CVSS v3.1 Base Score 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

Zusammenfassung

Die Anmeldeseite der Anwendung Desktop and Laptop Option (DLO) ist von einer „reflektiertes Cross-Site-Scripting“-Sicherheitslücke (XSS) betroffen. Dadurch können nicht authentifizierte Remote-Angreifer beliebige Web-Skripte in den HTTP-Parameter einfügen, was der Benutzereingabe ohne Bereinigung aufgrund von unzureichender Neutralisierung von Eingaben bei der Generierung von Webseiten (CWE-79) entspricht.

Betroffene Endgeräte

• https://{Host}/DLOServer/restore/login.jsp

Betroffene Versionen

Veritas Desktop and Laptop Option (DLO), Versionen 9.7, 9.6, 9.5, 9.4, 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1. Nicht unterstützte ältere Versionen können ebenfalls betroffen sein.

Behebung

Kunden mit einem aktuellen Wartungsvertrag sollten auf Desktop and Laptop Option (DLO) Version 9.8 aktualisieren.
Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE)

Danksagung

Veritas möchte Ahmed Ibrahim von Buguard für die Mitteilung dieser Sicherheitslücke danken.

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054