Eine Schwachstelle in der Open‑Source‑Asset‑Management‑Software Snipe‑IT erlaubt es einem Angreifer, sensible Informationen ohne Berechtigung einzusehen. Die Lücke wurde von CERT‑Bund identifiziert und in einem Security Advisory veröffentlicht.
Hintergrund
Snipe‑IT wird von Unternehmen und Organisationen weltweit eingesetzt, um IT‑Assets zu verwalten. Die Anwendung basiert auf PHP und nutzt eine Web‑Oberfläche, die über das Internet erreichbar sein kann. Aufgrund ihrer Verbreitung ist die Sicherheit der Software für zahlreiche IT‑Umgebungen von Bedeutung.
Technische Details
Die Verwundbarkeit betrifft eine fehlerhafte Zugriffskontrolle, die es einem Angreifer ermöglicht, über speziell gestaltete Anfragen auf Datenbankeinträge zuzugreifen, die eigentlich geschützt sein sollten. Die Ausnutzung erfordert keine besonderen Privilegien und kann remote erfolgen.
Betroffene Systeme
Alle Installationen von Snipe‑IT, die die betroffene Version ohne nachträgliche Sicherheitsupdates betreiben, sind potenziell gefährdet. Der Advisory weist darauf hin, dass sowohl On‑Premise‑Installationen als auch gehostete Varianten betroffen sein können, sofern die verwundbare Komponente nicht gepatcht wurde.
Empfohlene GegenmaĂźnahmen
Administratoren sollten umgehend prüfen, welche Version von Snipe‑IT im Einsatz ist, und das vom Hersteller bereitgestellte Sicherheitsupdate installieren. Zusätzlich wird empfohlen, den Netzwerkzugriff auf die Verwaltungsoberfläche zu beschränken und regelmäßige Sicherheitsüberprüfungen durchzuführen.
Herstellerreaktion
Der Entwickler von Snipe‑IT hat das Problem bestätigt und ein Update veröffentlicht, das die fehlerhafte Zugriffskontrolle korrigiert. In den Begleitinformationen wird darauf hingewiesen, dass das Update rückwirkend auf alle betroffenen Installationen angewendet werden kann.
Ausblick
Weitere Analysen sollen klären, ob ähnliche Fehlkonfigurationen in verwandten Modulen existieren. CERT‑Bund empfiehlt, die offiziellen Kommunikationskanäle des Projekts zu beobachten, um über zukünftige Sicherheitshinweise informiert zu bleiben.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Uebertragung