CH azonosító
CH-10839Angol cím
Symantec LiveUpdate Administrator Security Bypass and SQL Injection VulnerabilitiesFelfedezés dátuma
2014.03.30.Súlyosság
AlacsonyÉrintett rendszerek
LiveUpdate AdministratorSymantec
Érintett verziók
Symantec LiveUpdate Administrator 2.x
Összefoglaló
A SEC Consult több sebezhetőségről számolt be a Symantec LiveUpdate Administrator-nál.
Leírás
A SEC Consult több sebezhetőségről számolt be a Symantec LiveUpdate Administrator-nál, amelyeket kihasználva a támadók képesek bizonyos biztonsági szabályok megkerülésére, valamint SQL befecskendezésre.
- Az alkalmazás nem megfelelően korlátozza a hozzáférést a Lua / forcepasswd.do script-hez, ezt kihasználva meg lehet megváltoztatni egy felhasználó jelszavát.
A biztonsági rés sikeres kihasználásához szükséges egy felhasználó e-mail címének ismerete. - Bizonyos bemenettre átadott Lua / forcepasswd.do és loginforgotpwd nincs megfelelően ellenőrizve az SQL lekérdezések előtt, amely kihasználható az SQL lekérdezések manipulálására és tetszőleges SQL kód befecskendezésére.
A sérülékenységet a 2.3.2.110-et megelőző verziókban jelentették.
A frissítés verziója: 2.3.2.110.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A frissítés verziója: 2.3.2.110.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Physical/Console (Fizikai/konzol)Hivatkozások
SECUNIA 57659
CVE-2014-1644 - NVD CVE-2014-1644
CVE-2014-1645 - NVD CVE-2014-1645