CH azonosító
CH-11976Angol cím
Symantec Encryption Management Server vulnerabilityFelfedezés dátuma
2015.01.28.Súlyosság
KözepesÉrintett rendszerek
Encryption Management ServerPGP Universal Server
Symantec
Érintett verziók
Symantec Encryption Management Server / Symantec PGP Universal Server 3.3.2 MP6
Összefoglaló
A Symantec Encryption Management Server-ben két sérülékenységet fedeztek fel.
Leírás
- Egy hitelesített, de korlátozott jogokkal rendelkező felhasználó egy adatbázis backup kéréssel használhatja ki a sérülékenységet. A szerver hibásan szűri a felhasználó által küldött parancs bemenetét. Ennek hatásaként egy rosszindulatú felhasználó akár adminisztrátori jogokat is szerezhet.
- Az Email Header Handler komponense könnyen befolyásolható a kulcskezelőnek küldött speciálisan formázott PGP kulccsal. A befecskendezéssel tetszőleges tartalom és címzett adható meg emaileknek.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a Symantec Encryption Management Server 3.3.2 MP7 verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
CVE-2014-7288 - NVD CVE-2014-7288
CVE-2014-7287 - NVD CVE-2014-7287
Gyártói referencia: www.symantec.com
Egyéb referencia: www.scip.ch
Egyéb referencia: www.scip.ch