Összefoglaló
Az RSA Data Loss Prevention sebezhetőségei váltak ismertté, amelyeket adatlopáshoz, adatmanipulációkhoz, XSS-alapú támadásokhoz és biztonság korlátozások megkerüléséhez lehet kihasználni.
Leírás
Az XSS-kockázatokat bemeneti paraméterek nem megfelelő ellenőrzése okozza, amely tetszőleges HTML és script kódokkal történő visszaélése adhat módot. Ezek mellett az URL-ek feldolgozásában, valamint az egérkezelésben is felmerültek problémák. Ez utóbbi kattintás-alapú csalásokat segíthet elő.
Megoldás
Az elérhetővé vált frissítés (9.6.SP2 P5) telepítése az ESA-2016-041 közlemény alapján.
Támadás típusa
Cross Site Scripting (XSS/CSS)Manipulation of data
System access (Rendszer hozzáférés)
execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.emc.com
Egyéb referencia: isbk.hu
CVE-2016-0892 - NVD CVE-2016-0892
CVE-2016-0893 - NVD CVE-2016-0893
CVE-2016-0894 - NVD CVE-2016-0894
CVE-2016-0895 - NVD CVE-2016-0895