CA eTrust Security Command Center többszörös sebezhetőség

CH azonosító

CH-131

Felfedezés dátuma

2006.09.25.

Súlyosság

Közepes

Érintett rendszerek

Computer Associates (CA)
eTrust Security Command Center

Érintett verziók

Computer Associates (CA) eTrust Security Command Center 1.x

Összefoglaló

Néhány sérülékenységet jelentettek a CA eTrust Security Command Centerben, amit rosszindulatú, helyi felhasználók kihasználhatnak kényes információk nyilvánosságra hozására és megváltoztatására, és bizonyos biztonsági korlátozások megkerülésére.

Leírás

Néhány sérülékenységet jelentettek a CA eTrust Security Command Centerben, amit rosszindulatú, helyi felhasználók kihasználhatnak kényes információk nyilvánosságra hozására és megváltoztatására, és bizonyos biztonsági korlátozások megkerülésére.

  1. Az ePPIServlet script PIProfile függvényében egy bevitel ellenőrzési hibát kihasználva az idézőjel segítségével, a web szerver teljes elérési útvonalának felfedése lehetséges.

    A hibát az r8, r8 SP1 CR1, r8 SP1 CR2, és az 1.0. verziókban jelentették.
  2. A “getadhochtml()” függvény által visszaadott ideiglenes file útvonalának ellenőrzésében található egy hiba. Ezt kihasználva rosszindulatú helyi felhasználók tetszőleges file-ok tartalmát tehetik közzé és törölhetik is azokat.

    A hibát az r8, r8 SP1 CR1, és az r8 SP1 CR2 verziókban jelentették.
  3. Az esemény értesítési rendszer hitelesítés elmulasztásából eredői hibáját kihasználva lehetséges hamis riasztások előidézése bizonyos replay (visszajátszásos) támadásokkal.

    A hibát az r8, r8 SP1 CR1, r8 SP1 CR2, és az 1.0. verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra