Összefoglaló
A WatchGuard XCS kapcsán biztonsági hibákra derült fény. Ezek elsősorban adatlopásra, adatmanipulációkra és jogosulatlan kódfuttatásra adhatnak lehetőséget.
Leírás
A biztonsági rések SQL injection alapú támadások során juthatnak szerephez, és speciálisan szerkesztett cookie paraméterekkel válhatnak kihasználhatóvá. A sérülékenység az id paraméter nem megfelelő ellenőrzésére vezethető vissza.
A fenti sebezhetőség mellett a FixCorruptMail script is tartalmaz egy hibát, ami root jogosultságokkal vértezheti fel a támadót.
Megoldás
A gyártó által kiadott frissítések, patch-ek telepítése:
XCS v9.2 Security Hotfix
XCS v10.0 Security Hotfix
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.watchguard.com
Gyártói referencia: www.watchguard.com
Egyéb referencia: isbk.hu