Összefoglaló
Sérülékenységeket jelentettek a Cisco Security Agent szoftverben, amelyet a rosszindulatú felhasználók kihasználhatnak bizalmas információk kiszivárogtatásához vagy SQL befecskendezéses támadások végrhajtásához, valamint a rosszindulatú támadók szolgáltatás megtagadást (DoS) idézhetnek elő.
Leírás
Sérülékenységeket jelentettek a Cisco Security Agent szoftverben, amelyet kihasználva rosszindulatú felhasználók bizalmas információkat fedhetnek fel vagy SQL befecskendezéses támadásokat indíthatnak, valamint támadók szolgáltatás megtagadást (DoS) idézhetnek elő.
- A Management Center for Cisco Security Agents számára átadott bizonyos bemenet nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges fájlok letöltéséhez, egy könyvtár bejárásos támadás segítségével.
- A Management Center for Cisco Security Agents számára átadott bizonyos bemenet nincs megfelelően megtisztítva mielőtt SQL lekérdezésekben használnák. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges kód befecskendezésével.
-
A Cisco Security Agent-ben TCP csomagok feldolgozásakor jelentkező hiba kihasználható az érintett rendszer összeomlasztásához.
Megjegyzés: Ez a sérülékenység az irányított és az önálló verziókat is érinti. Ellenőrizze a gyártói bejelentést további érintett, a Cisco Security Agent önálló verzióját tartalmazó, termékek listáját illetően!
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 38619
CVE-2010-0146 - NVD CVE-2010-0146
CVE-2010-0147 - NVD CVE-2010-0147
Gyártói referencia: www.cisco.com
CVE-2010-0148 - NVD CVE-2010-0148