CH azonosító
CH-11976Angol cím
Symantec Encryption Management Server vulnerabilityFelfedezés dátuma
2015.01.28.Súlyosság
KözepesÉrintett rendszerek
Encryption Management ServerPGP Universal Server
Symantec
Érintett verziók
Symantec Encryption Management Server / Symantec PGP Universal Server 3.3.2 MP6
Összefoglaló
A Symantec Encryption Management Server-ben két sérülékenységet fedeztek fel.
Leírás
- Egy hitelesített, de korlátozott jogokkal rendelkező felhasználó egy adatbázis backup kéréssel használhatja ki a sérülékenységet. A szerver hibásan szűri a felhasználó által küldött parancs bemenetét. Ennek hatásaként egy rosszindulatú felhasználó akár adminisztrátori jogokat is szerezhet.
- Az Email Header Handler komponense könnyen befolyásolható a kulcskezelőnek küldött speciálisan formázott PGP kulccsal. A befecskendezéssel tetszőleges tartalom és címzett adható meg emaileknek.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a Symantec Encryption Management Server 3.3.2 MP7 verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
CVE-2014-7288 - NVD CVE-2014-7288
CVE-2014-7287 - NVD CVE-2014-7287
Gyártói referencia: www.symantec.com
Egyéb referencia: www.scip.ch
Egyéb referencia: www.scip.ch
