TESTESSTEST
Vom 17. Mai 2020
Eingestuft als unkritisch
Beschreibung der Entdeckung: Ein potenziell kompromittierter Administrator, der entweder Zugriff zu den stashcat Webserver Logs oder SSL-Gateway Logs im Rahmen seiner Administrationsfunktion besitzt, kann darüber die Session ID abrufen und sich damit arglistig Zugriff zu einem fremden Account verschaffen.
Beurteilung Hersteller: Dieses Vorgehen beurteilt der Hersteller aufgrund der spezifischen Voraussetzungen als unkritisch. Ein Nutzer muss Zugang zur Client ID und der Device ID besitzen und zunächst an diese Daten gelangen, um Zugriffe durchführen zu können. Dies ist lediglich möglich, wenn der fremde Nutzer auf dem entsprechenden Gerät noch eingeloggt ist. Device ID und Client Key sind auch beim Versand als GET Parameter durch die TLS Verschlüsselung geschützt. Da bei dem skizzierten Man-In-The-Middle Szenario auch POST Parameter ausgelesen werden könnten, sieht der Hersteller das Versenden von GET Parametern nicht als optimal, jedoch auch nicht als kritisch an. Eine Änderung des Verhaltes wurde mit der Version 3.10 umgesetzt.
Ihr Datenschutz ist uns wichtig: Standardmäßig erheben wir keine Analyse-Daten Ihres Besuchs! Um unsere Webseite jedoch fortlaufend verbessern zu können, tracken wir anynomisierte Daten der Webseitennutzung, sollten Sie damit Einverstanden sein. Sie können die Einstellungen zur Verwendung von Cookies jederzeit im Fußbereich der Webseite ändern. Näheres hierzu entnehmen Sie bitte unserer Datenschutzerklärung.
Wählen Sie aus, zu welchem Zweck diese Website Cookies verwenden darf:
Speicherung des Fortschritts bei Kontaktaufnahmen
die einheitliche Darstellung von Seiten-Inhalten
Speicherung Ihres letzten Website-Besuch
Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken
Ermöglicht das Teilen von Seiten über soziale Netzwerke
das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen
Speicherung des Fortschritts bei Kontaktaufnahmen
die einheitliche Darstellung von Seiten-Inhalten
Speicherung Ihres letzten Website-Besuch
Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken
Ermöglicht das Teilen von Seiten über soziale Netzwerke
das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen
Speicherung des Fortschritts bei Kontaktaufnahmen
die einheitliche Darstellung von Seiten-Inhalten
Speicherung Ihres letzten Website-Besuch
Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken
Ermöglicht das Teilen von Seiten über soziale Netzwerke
das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen