CH azonosító
CH-13115Angol cím
Symantec Endpoint Protection (SEP) multiple vulnerabilityFelfedezés dátuma
2016.03.18.Súlyosság
MagasÉrintett rendszerek
Endpoint ProtectionEndpoint Protection Manager
Symantec
Érintett verziók
Symantec Endpoint Protection Manager and Client 12.1
Összefoglaló
A Symantec Endpoint Protection (SEP) termékek többszörös sérülékenysége vált ismertté. A kihasználásához a támadónak minden esetben autentikálni kell, ugyanakkor ezt követően adminisztrátori szintű jogosultságot nyerhetnek az adott rendszer felett.
Leírás
A hibák a SEP Manager Console-t (SEPM) és a SEP Client-et is érintik. Mindkettő esetében a bemeneti paraméterek nem megfelelő kezelése okozza a problémát. A SEPM esetében cross-site request forgery valamint SQL injection támadás vezethet a kihasználáshoz.
A klienst érintő hibáért az Application and Device Control (ADC) komponens részeként betöltődő SysPlant.sys driver a felelős. A támadók egy speciálisan szerkesztett HTML dokumentum segítségével használhatják ki ezt a biztonsági rést.
Megoldás
Frissítsen a legújabb (SEP 12.1-RU6 MP4) verzióra, amely manuálisan a Symantec File Connect oldaláról telepíthető.
Megkerülő megoldás a klienst érintő hibához érhető el, az ADC driver letiltása vagy az ADC uninstallálása, amellyel kapcsolatban további információt a gyártói hivatkozáson találhat.
Támadás típusa
Command InjectionCross Site Scripting (XSS/CSS)
Input manipulation (Bemenet módosítás)
Privilege escalation (jogosultság kiterjesztés)
SQL Injection
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute arbitrary code
execute code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.symantec.com
Egyéb referencia: www.heise.de
CVE-2015-8154 - NVD CVE-2015-8154