4 ευπάθειες στο Symantec Data Center Security

Τέσσερις ευπάθειες συνολικά ανακαλύφθηκαν στο Symantec Data Center Security: Server Advanced (SDCS:SA). Οι ευπάθειες επιτρέπουν σε έναν πιθανό εισβολέα να παρακάμψει τις πολιτικές προστασίας του πελάτη και να αποκτήσει πρόσβαση στο σύστημα και στη βάση δεδομένων.symantec
Τα θέματα ασφάλειας περιλαμβάνουν τη δυνατότητα εισαγωγής SQL (SQL injection), cross-site scripting (XSS), αποκάλυψη πληροφοριών και παράκαμψη της πολιτικής προστασίας.

Ο Stefan Viehbock, ερευνητής ασφαλείας στο SEC Consult Vulnerability Lab, ανακάλυψε τα τρωτά σημεία και τα ανέφερε στη Symantec στις 20 Οκτωβρίου, 2014.

Σύμφωνα με μια δημοσίευση του την Πέμπτη, με το SQL injection, που αναφέρει ως CVE-2014-7289, ένας επιτιθέμενος θα μπορούσε να στείλει εντολές SQL και να εκτελεστούν λόγω της μη επικύρωσης ακατάλληλων εισροών η οποία επιτρέπει πρόσβαση read/write σε οποιαδήποτε εγγραφή είναι διαθέσιμη σε μια βάση δεδομένων.

Κατά τη διάρκεια της έρευνάς του, ο Viehbock κατάφερε να προσθέσει ένα νέο χρήστη με προνόμια admin προνόμια στο SDCS:SA.

Με την αξιοποίηση του XSS glitch (CVE-2014-9224) ο ερευνητής δήλωσε ότι ένας εισβολέας θα μπορούσε να κλέψει το session ενός χρήστη, και να αποκτήσει πρόσβαση στην διεπαφή του διαχειριστή χωρίς άδεια.

Με την τρίτη ευπάθεια (CVE-2014-9225) ένας επιτιθέμενος θα μπορούσε να επωφεληθεί από την πρόσβαση σε ένα απροστάτευτο script (https://:8081/webui/admin/environment.jsp) που περιέχει εσωτερικές λεπτομέρειες σχετικά με τις αιτήσεις στο διακομιστή, όπως οι διαδρομές των αρχείων στο διακομιστή και πληροφορίες έκδοσης (OS, Java).

Η τέταρτη ευπάθεια που ανακαλύφθηκε από τον Viehbock αναφέρεται σαν CVE-2014-9226 και αν αξιοποιηθεί μπορεί να προσπεράσει τις πολιτικές προστασίας της προ επιλεγμένης ασφάλεια και να παρακάμψει το SDCS:SA client.

Η Symantec έχει ήδη κυκλοφορήσει patches, αλλά μόνο για τα προϊόντα SCSP 5.2.9 MP6 και SDCS:SA 6.0 MP1.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).