2016-0920: Symantec Critical System Protection, Symantec Data Center Security, Symantec Embedded Security: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit Administratorrechten
Historie:
- Version 1 (2016-06-08 15:42)
- Neues Advisory
Betroffene Software
Netzwerk
Sicherheit
Betroffene Plattformen
Beschreibung:
Zwei Schwachstellen in den Symantec Produkten Critical System Protection (CSP), Data Center Security (DCS) und Embedded Security (SES) ermöglichen einem Angreifer im benachbarten Netzwerk das Injizieren beliebiger SQL-Befehler (einfache Authentifizierung) sowie das Ausführen beliebigen Programmcodes mit Administratorrechten (mehrfache Authentifizierung). Zwei weitere Schwachstellen ermöglichen zudem einem entfernten, einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen sowie ebenfalls das Ausführen beliebigen Programmcodes.
Symantec informiert über die Schwachstellen und stellt für Symantec Embedded Security: Critical System Protection (SES:CSP) die Versionen 1.0 MP5 und 6.5.0 MP1, für Symantec Critical System Protection (SCSP) die Version 5.2.9 MP6 sowie für Symantec Data Center Security: Server Advanced (DCS:SA) die Versionen 6.5 MP1 und 6.6 MP1 als Sicherheitsupdates bereit. Symantec weist darauf hin, dass für die betroffene Variante Symantec Data Center Security: Server Advanced Server and Agents 6.6 MP1 aktualisierte Richtlinien veröffentlicht wurden.
Schwachstellen:
CVE-2015-8157
Schwachstelle in Symantec Management Server ermöglicht SQL-Injection-AngriffeCVE-2015-8798
Schwachstelle in Symantec Management Server ermöglicht Ausführen beleibigen Programmcodes mit AdministratorrechtenCVE-2015-8799
Schwachstelle in Symantec Management Server ermöglicht Ausführen beliebigen ProgrammcodesCVE-2015-8800
Schwachstelle in Symantec Management Server ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.