Sophos hat im Zuge der neuen Version 9.602 drei Sicherheitslücken aus seiner Unified-Threat-Management-Appliance entfernt.

Sophos hat eine neue Version seiner Unified-Threat-Management-Lösung (Sophos UTM) veröffentlicht und in diesem Zuge insgesamt drei Sicherheitslücken beseitigt. Das CERT des Deutschen Forschungsnetzes (DFN-CERT) warnt in einem Security Advisory davor, dass sie von einem entfernten, nicht authentisierten Angreifer missbraucht werden können, um „Benutzernamen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen“.

Zwei der Lücken basieren auf – allerdings schon vor längerer Zeit mittels neuer Versionen abgesicherter – Drittanbieterkomponenten: CVE-2018-15473 bezeichnet eine im August vergangenen Jahres geschlossene Lücke im Fernzugriffs- und Dateiübertragungstool OpenSSH; CVE-2018-17199 steckte in Apache HTTP Server Release bis einschließlich 2.4.37. Keine der beiden Lücken gilt als kritisch; die National Vulnerability Database stuft erstere mittels CVSS-v3-Score als „Medium“ und letztere immerhin als „High“ ein.

Für die dritte Scherheitslücke nutzt Sophos in seinen Release-Notes den internen Bezeichner NUTM-10480 und schreibt dazu lediglich, dass über sie Cross-Site-Scripting-Angriffe möglich seien.

Nutzer können Version 9.602 derzeit manuell herunterladen; später soll die neue Version automatisch über Sophos‘ Up2Date-Server verteilt werden. Wann es soweit sein wird, geht aus den Release-Notes nicht hervor. Der Hersteller weist darauf hin, dass während des Update-Prozesses ein Neustart erfolgt.