CH azonosító
CH-8025Angol cím
McAfee Email Gateway Security Bypass Security Issue and Script Insertion VulnerabilityFelfedezés dátuma
2012.11.29.Súlyosság
AlacsonyÖsszefoglaló
A McAfee Email Gateway két sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók megkerülhetnek egyes biztonsági szabályokat, valamint script beszúrásos (script insertion) támadásokat hajthatnak végre.
Leírás
- Az alkalmazás nem megfelelően ellenőrzi a Secure Web Delivery Client egyes adminisztratív beállításait, amit kihasználva üzeneteket lehet készíteni. Megjegyzés: ezt a hibát kihasználva le lehet foglalni a rendelkezésre álló tárhelyet.
- A Secure Web Delivery Client részére elküldött email-ben lévő csatolmány nevén keresztül átadott bemeneti adat nem megfelelően van megtisztítva felhasználás előtt. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységeket a 7.0, 7.0.1 és 7.0.2 verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: kc.mcafee.com
SECUNIA 51441
