McAfee ePolicy Orchestrator sérülékenységek | Nemzeti Kibervédelmi Intézet

McAfee ePolicy Orchestrator sérülékenységek

2013. április 26. 08:30

CH azonosító

CH-9050

Angol cím

McAfee ePolicy Orchestrator Two Vulnerabilities

Felfedezés dátuma

2013.04.25.

Súlyosság

Érintett rendszerek

McAfee
ePolicy Orchestrator

Érintett verziók

McAfee ePolicy Orchestrator 4.x

Összefoglaló

A McAfee ePolicy Orchestrator két sérülékenységét jelentették, amiket kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

Az Agent-Handler komponens (Agent-Server communication channel) részére átadott nem részletezett bemeneti adat nem megfelelően van megtisztítva az SQL lekérdezésekben történő felhasználás előtt. Ezt kihasználva manipulálni lehet az SQL lekérdezéseket tetszőleges SQL kód befecskendezésével. A sérülékenységet kihasználva tetszőleges kódot lehet végrehajtani.
Egy nem részletezett sérülékenységet kihasználva tetszőleges fájlokat lehet feltölteni könyvtár bejárásos támadások segítségével.

A sérülékenységeket a 4.5.6 és korábbi, valamint a 4.6.5 verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: kc.mcafee.com
CVE-2013-0140 - NVD CVE-2013-0140
CVE-2013-0141 - NVD CVE-2013-0141
SECUNIA 53196

Ugrás a tetejére