- In vier Sicherheitsmeldungen beschreibt Netgate, die Firma hinter pfSense und seinen kommerziellen Varianten, drei verschiedene XSS-Lücken und eine "Local File Inclusion" in der Web-GUI der Firewall. Keine der Sicherheitslücken hat eine CVE-ID oder einen CVSS-Punktwert erhalten.
Die gefährlichste Lücke hat pfSense sich mittels eines jQuery-Plugins namens "treegrid" eingefangen. Dieses liefert in seinem Codebaum Dateien mit, die für Unit-Tests gedacht sind, es aber bei pfSense in die an Nutzer ausgelieferte Software geschafft haben. In diesen Skriptdateien – die auch für nicht angemeldete Nutzer mit Netzwerkzugriff auf die Firewall zugänglich sind – werden Parameter nicht ausreichend überprüft. Angreifer könnten über das resultierende Cross-Site-Scripting versuchen, das Admin-Cookie zu klauen oder den Browser des Firewall-Administrators fernzusteuern. Die Redaktion schätzt den Schweregrad der Lücke auf 9,6 (kritisch), das BSI kommt in seiner Warnmeldung zu einem etwas konservativeren Wert von 8,8 (hoch).
Eine weitere, weniger gefährliche XSS-Lücken in der webbasierten Administrationsoberfläche kann nur von angemeldeten Nutzern, die dritte sogar nur von Administratoren der Firewall ausgenutzt werden.Quellen: https://www.heise.de/news/Cross-Site-Sc ... 96756.html
Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team
Sicherheitslücken Open-Source-Firewall pfSense
- Astor27
- Moderator
- Beiträge: 25679
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox126.0/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9389 Mal
- Danksagung erhalten: 8616 Mal
Sicherheitslücken Open-Source-Firewall pfSense
Sicherheitslücken Open-Source-Firewall pfSense
Ich empfehle den download und update immer von der Original Seite der Software.