Érintett rendszerek
Computer Associates (CA)eTrust Security Command Center
Érintett verziók
Computer Associates (CA) eTrust Security Command Center 1.x
Összefoglaló
Néhány sérülékenységet jelentettek a CA eTrust Security Command Centerben, amit rosszindulatú, helyi felhasználók kihasználhatnak kényes információk nyilvánosságra hozására és megváltoztatására, és bizonyos biztonsági korlátozások megkerülésére.
Leírás
Néhány sérülékenységet jelentettek a CA eTrust Security Command Centerben, amit rosszindulatú, helyi felhasználók kihasználhatnak kényes információk nyilvánosságra hozására és megváltoztatására, és bizonyos biztonsági korlátozások megkerülésére.
-
Az ePPIServlet script PIProfile függvényében egy bevitel ellenőrzési hibát kihasználva az idézőjel segítségével, a web szerver teljes elérési útvonalának felfedése lehetséges.
A hibát az r8, r8 SP1 CR1, r8 SP1 CR2, és az 1.0. verziókban jelentették. -
A “getadhochtml()” függvény által visszaadott ideiglenes file útvonalának ellenőrzésében található egy hiba. Ezt kihasználva rosszindulatú helyi felhasználók tetszőleges file-ok tartalmát tehetik közzé és törölhetik is azokat.
A hibát az r8, r8 SP1 CR1, és az r8 SP1 CR2 verziókban jelentették. -
Az esemény értesítési rendszer hitelesítés elmulasztásából eredői hibáját kihasználva lehetséges hamis riasztások előidézése bizonyos replay (visszajátszásos) támadásokkal.
A hibát az r8, r8 SP1 CR1, r8 SP1 CR2, és az 1.0. verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
SECUNIA 22023
Gyártói referencia: supportconnectw.ca.com
SECUNIA 22073
CVE-2006-4899 - NVD CVE-2006-4899
CVE-2006-4900 - NVD CVE-2006-4900
CVE-2006-4901 - NVD CVE-2006-4901