CH azonosító
CH-9050Angol cím
McAfee ePolicy Orchestrator Two VulnerabilitiesFelfedezés dátuma
2013.04.25.Súlyosság
KözepesÖsszefoglaló
A McAfee ePolicy Orchestrator két sérülékenységét jelentették, amiket kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
- Az Agent-Handler komponens (Agent-Server communication channel) részére átadott nem részletezett bemeneti adat nem megfelelően van megtisztítva az SQL lekérdezésekben történő felhasználás előtt. Ezt kihasználva manipulálni lehet az SQL lekérdezéseket tetszőleges SQL kód befecskendezésével. A sérülékenységet kihasználva tetszőleges kódot lehet végrehajtani.
- Egy nem részletezett sérülékenységet kihasználva tetszőleges fájlokat lehet feltölteni könyvtár bejárásos támadások segítségével.
A sérülékenységeket a 4.5.6 és korábbi, valamint a 4.6.5 verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: kc.mcafee.com
CVE-2013-0140 - NVD CVE-2013-0140
CVE-2013-0141 - NVD CVE-2013-0141
SECUNIA 53196