HTTP File Server

Die Schwachstelle steckt im Rejetto HTTP File Server, einer Software zum Bereitstellen und Austauschen von Dateien über das Web. Der Fehler liegt in der Template-Engine: Sonderzeichen, die zur Steuerung von Vorlagen dienen, werden nicht ausreichend entschärft. Dadurch kann ein Angreifer eigene Anweisungen in die Template-Verarbeitung einschleusen – eine sogenannte Template-Injection. Ausnutzen lässt sich der Defekt aus der Ferne und ohne jede Anmeldung: Es genügt, eine besonders präparierte HTTP-Anfrage an den Server zu senden. Gelingt der Angriff, kann der Angreifer beliebige Befehle auf dem betroffenen System ausführen und damit weitreichende Kontrolle über den Rechner erlangen, auf dem der Dateiserver läuft. Erschwerend kommt hinzu, dass die betroffene Produktlinie vom Hersteller nicht mehr unterstützt wird, sodass für diese Versionsreihe keine Korrekturen mehr bereitgestellt werden.