Érintett rendszerek
Computer Associates (CA)XOsoft
Érintett verziók
Computer Associates (CA) XOsoft 12.0, 12.5
Összefoglaló
A CA XOsoft termékek több olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak érzékeny információk megszerzésére vagy a sérülékeny rendszer feltörésére.
Leírás
A CA XOsoft termékek több olyan sérülékenységét jelentették, melyeket a támadók kihasználhatnak érzékeny információk megszerzésére vagy a sérülékeny rendszer feltörésére.
- A SOAP kérések által átadott, részletesen nem ismertetett, paraméterek kihasználhatóak a felhasználói fiókok számbavételére.
- A SOAP kérések által átadott, részletesen nem ismertetett, paraméterek kihasználhatóak érzékeny információk felfedésére.
Ezt a sérülékenységet csak az r12.5 verzióban jelentették. - A “/ws_man/xosoapapi.asmx” SOAP végpontokon belüli, részletesen nem ismertetett hibák kihasználhatóak tetszőleges kód lefuttatására speciálisan erre a célra elkészített kérésekkel.
- Az “/entry_point.aspx” -nek átadott adat kezelésekor fellépő határhiba kihasználható egy verem túlcsordulás előidézésére.
A sikeres kiaknázás tetszőleges kód lefuttatását teszi lehetővé.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: www.zerodayinitiative.com
Egyéb referencia: www.zerodayinitiative.com
Gyártói referencia: support.ca.com
SECUNIA 39337
CVE-2010-1221 - NVD CVE-2010-1221
CVE-2010-1222 - NVD CVE-2010-1222
CVE-2010-1223 - NVD CVE-2010-1223