[English]Kurzer Nachtrag und Hinweis für Administratoren, die den Load-Balancer LoadMaster von Progress Kemp verwenden. Zum 10. März 2025 hat der Anbieter mitgeteilt, dass die Schwachstelle CVE-2025-1758 durch ein Sicherheitsupdate geschlossen wurde.
Anzeige
Was ist Progress Kemp?
Von Progress Kemp gibt es den Load-Balancer LoadMaster, der einen Lastenausgleich in Netzwerken bereitstellen soll. In seiner einfachsten Form bietet ein Load Balancer die Möglichkeit, Anwendungsbenutzer an den leistungsstärksten und zugänglichsten Server weiterzuleiten.
Schwachstelle CVE-2025-1758 im LoadMaster gefixt
In den Release Notes für den Kemp Progress LoadMaster 7.2.61.1 wurde die Schwachstelle CVE-2025-1758 geschlossen. Eine unzulässige Eingabevalidierung in Progress LoadMaster ermöglicht einen Pufferüberlauf.
Böswillige Akteure können remote eine sorgfältig gestaltete HTTP-Anfrage stellen, um einen Stack-basierten Pufferüberlauf zu verursachen und möglicherweise beliebige Systembefehle auszuführen. Dieses Problem betrifft:
- LoadMaster: 7.2.40.0 und höher
- ECS: Alle Versionen
- Multi-Tenancy: 7.1.35.4 und höher
Diese Schwachstelle wurde geschlossen, indem die Pufferverwaltung verbessert wurde, um die Ausführung von bösartigem Code aus dem Stack zu verhindern. Danke an den Leser für den Hinweis in diesem Kommentar – heise hatte in diesem Artikel über die Schwachstelle berichtet.
Anzeige
Muss dazu auch wie bei den letzten paar Lücken von 2024 zunächst Zugriff auf ein Admin-Interface bestehen oder lässt sich das auch ausnutzen wenn man nur das Authentifizierungsfrontend für OWA nach aussen hin offen hat?