Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/06/2016
Symantec ha publicat quatre vulnerabilitats que afecten els productes Symantec Embedded Security (SES:CSP), Symantec Critical System Protection (SCSP) i Symantec Data Center Security (DCS:SA)
Els servidors d’administració es veuen afectats per CVE-2015-8157 i podria permetre efectuar atacs d’injecció SQL. El CVE-2015-8798 podria permetre a usuaris sense permisos específics executar codi arbitrari (només per a versions posteriors a 5.2.9).
La tercera vulnerabilitat, amb CVE-2015-8799, podria permetre a un usuari instal·lar paquets d’actualització per a ser executats per l’agent (només per a versions posteriors a 5.2.9).
Sistemes Afectats:
Symantec Embedded Security: Critical System Protection (SES:CSP) 1.0.x
Symantec Embedded Security: Critical System Protection for Controllers and Devices (SES:CSP) 6.5.0
Symantec Critical System Protection (SCSP) 5.2.9 y anteriores
Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.0.x
Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.5.x
Symantec Data Center Security: Server Advanced Server (DCS:SA) 6.6
Symantec Data Center Security: Server Advanced Server and Agents (DCS:SA) 6.6 MP1
CVE-2015-8157, CVE-2015-8798, CVE-2015-8799, CVE-2015-8800
Solució:Symantec ha publicat actualitzacions per als productes afectats disponibles des de:
Para SES:CSP 1.0.x y 6.5.0 disponibles a través de Symantec File Connect.
https://symantec.flexnetoperations.com/
Para SES:CSP y SDCS:SA disponibles a través de TechNote INFO3743
http://www.symantec.com/docs/INFO3743
Notes:Security Advisories Relating to Symantec Products - Symantec Embedded Security: Critical System Protection and Symantec Data Center Security: Server Advanced, Multiple Security Issues