Sikkerhetshull i 3Com-svitsj

Et nytt sikkerhetshull er blitt oppdaget i 3Coms CoreBuilder 2500 og 3500 svitsjer. Hullet kan gi uvedkommende større rettigheter enn administratoren.

Ifølge PC Week Online kan et administrasjonsprogram som er tilgjengelige på Internett opprette en spesiell "debug"-konto. Ved hjelp av et spesifikt passord kan utvendige brukere få tilgang til alle administrative funksjoner på svitsjen, samt visse debuggingskommandoer som ikke er tilgjengelige på annen måte, ikke engang for administratorene.

Sikkerhetshullet kan også gi uvedkommende brukere tilgang til andre passord og endre dem. Dermed kan andre brukere utestenges fra svitsjen.

Ifølge PC Week Online gjelder problemet alle CoreBuilder 2500 og 3500 svitsjer som tillater telnet-aksess.

Det er heldigvis enkelt å tette igjen hullet, i hvert fall delvis. Administratoren kan selv logge seg inn på den spesielle kontoen og endre passordet til noe annet enn det opprinnelige som er felles for alle svitsjene. Det er ikke mulig å endre passordet hvis man bare logger inn som "admin".

3Com har bekreftet hullet og sier at selskapet forbereder en veiledning som vil gi en oversikt over problemet og om hvordan man kan fikse dette. Veiledningen skal bli tilgjengelig på 3Coms nettsted i løpet av dagen.

Til toppen