CH azonosító
CH-6385Angol cím
CA Total Defense Suite UNC Management Information Disclosure and SQL InjectionFelfedezés dátuma
2012.02.08.Súlyosság
AlacsonyÖsszefoglaló
A CA Total Defense olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva bizalmas adatokat szivárogtathatnak ki és SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.
Leírás
- SOAP kérések által átadott bemeneti adat a management.asmx-nek nincs megfelelően ellenőrizve, mielőtt egy SQL lekérdezésben ExportReport létrehozására és tárolt uncsp_ViewReportsHomepage eljárásokban felhasználásra kerülne.
- Az App_Code.dll szolgáltatás egy hibája kihasználható titkosított salt-al nem rendelkező domain azonosítók kiszivárogtatására.
A sérülékenységeket az R12 SE3 (Build 831) verziónál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Crypthographical (Titkosítás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
SECUNIA 47883
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com