Diverse Schwachstellen in Progress Kemp LoadMaster (Load-Balancer) Jan 2025

Publiziert am 6. Februar 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Kurzer Hinweis für Administratoren, die den Load-Balancer LoadMaster von Progress Kemp verwenden. Zum 5. Februar 2025 wurde eine ganze Reihe an Schwachstellen öffentlich, die ältere Versionen der Software betreffen. Der Anbieter hat Patches für diese, teilweise als "hoch" in Bezug auf die CVSS-Einstufung bewertet werden, veröffentlicht.

Anzeige

Was ist Progress Kemp?

Von Progress Kemp gibt es den Load-Balancer LoadMaster, der einen Lastenausgleich in Netzwerken bereitstellen soll. In seiner einfachsten Form bietet ein Load Balancer die Möglichkeit, Anwendungsbenutzer an den leistungsstärksten und zugänglichsten Server weiterzuleiten.

Schwachstellen im LoadMaster

Ich bin die Nacht über eine Serie von Tweet auf die jetzt veröffentlichten CVEs gestoßen. Kemp Progress hat die Schwachstellen zum 5. Februar 2025 im Community-Post LoadMaster Security Vulnerability CVE-2024-56131 / CVE-2024-56132 / CVE-2024-56133 / CVE-2024-56134 / CVE-2024-56135 offen gelegt.

Progress Kemp LoadMaster Vulnerability

Die Sicherheitslücken CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56134, CVE-2024-56135 betreffen alle aktuellen LoadMaster-Releases sowie den LoadMaster Multi-Tenant (MT) Hypervisor.

Anzeige
  • CVE-2024-56131 / CVE-2024-56132 / CVE-2024-56133 / CVE-2024-56135: Entfernte böswillige Akteure, die sich Zugang zur Verwaltungsschnittstelle des LoadMaster verschaffen und sich erfolgreich authentifizieren, könnten eine manipulierte HTTP-Anfrage stellen, die die Ausführung beliebiger Systembefehle ermöglicht. Diese Schwachstelle wurde geschlossen, indem die Benutzereingabe von Anfragen bereinigt wurde, um die Ausführung beliebiger Systembefehle zu verhindern.
  • CVE-2024-56134: Entfernte böswillige Akteure, die sich Zugang zur Verwaltungsschnittstelle von LoadMaster verschaffen und sich erfolgreich authentifizieren, könnten eine spezifisch gestaltete HTTP-Anfrage stellen, die den Download des Inhalts einer beliebigen Datei auf dem System ermöglicht. Diese Schwachstelle wurde geschlossen, indem die Benutzereingabe der Anfrage bereinigt wurde, um die Ausführung beliebiger Systembefehle zu verhindern.

Es sind bisher keine Berichte bekannt, dass diese Schwachstellen ausgenutzt wurden oder werden. Progress Kemp empfiehlt allen Kunden, ihre LoadMaster-Implementierungen so schnell wie möglich zu aktualisieren, um ihre Umgebung zu schützen. Im Community-Post sind die betroffenen Progress Kemp Software-Versionen aufgelistet und es gibt auch Links zu den Sicherheitsupdates.

Anzeige
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Diverse Schwachstellen in Progress Kemp LoadMaster (Load-Balancer) Jan 2025

  1. ich sagt:
    6. Februar 2025 um 17:13 Uhr

    Wenn man Kunde ist und im Spport Portal die passenden Benachrichtigungen angehakt hat, bekommt man ca. 2 Wochen vor Veröffentlichung der Patches einen Hinweis und die Möglichkeit die Updates VOR der Veröffentlichung downzuloaden und zu installieren.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.