Schwachstelle in Novell GroupWise entdeckt

Firmen-Webkatalog: Suchmaschinengerecht eintragen

Pressemitteilung veröffentlichen Registrieren Kategorien Nachrichten abonnieren PR inside weiterempfehlen PR-Tipps Sport HelloArticle

PR-inside
Special Pages

Webvisitenkarte

Mit unserem RSS-Feed sind Sie immer auf dem neusten Stand

Mehr Informationen

IT, Software & Technologie

cirosec warnt vor vermeintlich sicheren E-Mail-Systemen

Schwachstelle in Novell GroupWise entdeckt

(PR-inside.com 05.06.2007 11:39:45) - HEILBRONN, 5. Juni 2007 - cirosec, der Spezialist im IT-Sicherheitsbereich, warnt vor Angriffsm�glichkeiten auf angeblich sichere Firmen-E-Mail-Systeme und deren Nutzung ohne VPN-Verschl�sselung �ber das Internet.

	Ausdrucken
	Per e-Mail empfehlen

Hersteller von E-Mail-Systemen behaupten oft, dass die Kommunikation zwischen E-Mail-Client und E-Mail-Server verschl�sselt und generell sicher ist. Allerdings ist diese Verschl�sselung zwischen Client und Server oft unzureichend implementiert. Dadurch werden Angriffe auf die Kommunikation m�glich.

Dies wurde einmal mehr bei einer Sicherheits�berpr�fung deutlich, die Andreas Schmidt, Berater bei der cirosec GmbH, im Auftrag eines Kunden durchgef�hrt hat. Bei der �berpr�fung des GroupWise Mail-Systems von Novell war

es ihm m�glich, trotz SSL-Verschl�sselung die Kommunikation zwischen Client und Server anzugreifen und die Anmeldeinformationen (Benutzername und Passwort) abzugreifen, ohne dass dies f�r den Anwender sichtbar gewesen w�re. M�glich war dieser so genannte Man-In-The-Middle-Angriff durch gravierende Fehler bei der Implementierung der Verschl�sselung des Protokolls, das f�r die Kommunikation zwischen Client und Server genutzt wird.

Ist ein Angreifer einmal in Besitz von den genannten Anmeldeinformationen, kann er sich anschlie�end am GroupWise Server anmelden und somit auf die Daten des Opfers zugreifen. Dies ist besonders dann kritisch, wenn Anwender ungesch�tzt, also ohne VPN aus �ffentlichen Netzen, wie beispielsweise von Hotel-WLANs auf firmeninterne Daten zugreifen.

Die Angriffsm�glichkeit wurde nach der Entdeckung an den Hersteller Novell gemeldet, der mittlerweile einen Patch ver�ffentlicht hat, durch den die gemeldete Schwachstelle behoben wird. Allerdings ist diese Art von Fehler auch bei allen anderen kommerziellen E-Mail-Systemen denkbar. Deshalb empfiehlt cirosec, sich nicht auf die herstellerseitige Verschl�sselung zu verlassen, sondern auf jeden Fall die Kommunikation �ber eine VPN-Verschl�sselung zu implementieren, insbesondere bei Nutzung von E-Mail-Systemen �ber das Internet.

Ein Advisory der cirosec GmbH zu dem Fehler in Novell GroupWise findet sich unter www.cirosec.de/deutsch/dienstleistungen/advisory_040607.html

Der Patch von Novell findet sich unter download.novell.com/Download?buildid=T5KoQlP4WUo~

Kontaktinformation:
cirosec GmbH

Edisonstra�e 21
74076 Heilbronn

Kontakt-Person:
Daniela Strobel
Marketing
Telefon: Tel.: 07131 / 59455-60
E-Mail: e-Mail

Web: http://www.cirosec.de

Autor:
Daniela Strobel
e-mail
Web: http://www.cirosec.de
Telefon: 07131 5945560

Erklärung: Der Autor versichert, dass die veröffentlichten Inhalte in dieser Pressemitteilung der Wahrheit entsprechen und dem gesetzlichen Urheberrechte unterliegen.

AGB | Datenschutz | Impressum | Kontakt