VTS22-014
Reflektiertes Cross-Site-Scripting“-Sicherheitslücke (XSS) in Veritas Desktop and Laptop Option (DLO)
Bisherige Aktualisierungen
- 1.0: 5. September 2022: Erste Version
- 1.1: 11. Oktober 2022: CVE-ID hinzugefügt
Zusammenfassung
In der Desktop and Laptop Option (DLO) wurde eine „Reflektiertes Cross-Site-Scripting“-Sicherheitslücke gefunden.
Problem
- CVE ID: CVE-2022-41319
- Schweregrad: mittel
- CVSS v3.1 Base Score 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Zusammenfassung
Die Anmeldeseite der Anwendung Desktop and Laptop Option (DLO) ist von einer „reflektiertes Cross-Site-Scripting“-Sicherheitslücke (XSS) betroffen. Dadurch können nicht authentifizierte Remote-Angreifer beliebige Web-Skripte in den HTTP-Parameter einfügen, was der Benutzereingabe ohne Bereinigung aufgrund von unzureichender Neutralisierung von Eingaben bei der Generierung von Webseiten (CWE-79) entspricht.
Betroffene Endgeräte
- https://{Host}/DLOServer/restore/login.jsp
Betroffene Versionen
Veritas Desktop and Laptop Option (DLO), Versionen 9.7, 9.6, 9.5, 9.4, 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1. Nicht unterstützte ältere Versionen können ebenfalls betroffen sein.
Behebung
Kunden mit einem aktuellen Wartungsvertrag sollten auf Desktop and Laptop Option (DLO) Version 9.8 aktualisieren.
Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads
Fragen
Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den Veritas-Techniksupport (https://www.veritas.com/support/de_DE)
Danksagung
Veritas möchte Ahmed Ibrahim von Buguard für die Mitteilung dieser Sicherheitslücke danken.
Haftungsausschluss
DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND. VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION. DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054