Serv-U

Die Schwachstelle betrifft die Dateiübertragungs-Software Serv-U von SolarWinds, genauer den Anmeldebildschirm der Web-Oberfläche bei Verwendung der LDAP-Authentifizierung. Bei der Anmeldung wurden eingegebene Zeichen nicht ausreichend geprüft und bereinigt. Dadurch konnte ein Angreifer Zeichenfolgen in die Eingabe einschleusen, aus denen unkontrolliert LDAP-Abfragen zusammengesetzt und an den Verzeichnisdienst weitergereicht wurden, ohne dass eine vorherige Filterung stattfand. Es handelt sich um einen Fehler bei der Eingabevalidierung: Die Software übernahm Benutzereingaben, ohne sie zuverlässig auf unzulässige Zeichen zu kontrollieren. Nach Herstellerangaben wurde bislang keine nachgelagerte Auswirkung festgestellt, da die angesprochenen LDAP-Server unzulässige Zeichen ignorierten. Dennoch besteht das Risiko, dass die fehlende Bereinigung in anderen Umgebungen ausgenutzt werden kann. Betroffen sind Installationen von Serv-U, deren Web-Anmeldung an einen LDAP-Verzeichnisdienst angebunden ist.