CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/07/2013

Vulnerabilitats en McAfee ePolicy Orchestrator

S’han anunciat diversos problemes de seguretat en McAfee ePolicy Orchestrator que podrien permetre la realització d’atacs de Cross-Site Scripting i d’injecció SQL.

Risc: Mitjà

McAfee ePolicy Orchestrator, també conegut com McAfee ePO, és una consola d’administració que permet la gestió centralitzada de la seguretat per a sistemes, xarxes, dades i solucions de compliment de normatives.

S’han detectat múltiples scripts que no filtren de forma adequada el codi HTML de les entrades d’usuari abans de ser tornades a l’usuari. Açò permet a usuaris remots generar atacs de cross-site scripting que podrien permetre l’execució arbitrària de codi script en el navegador de l’usuari. Amb això l’atacant podria accedir a les cookies (incloent les d’autenticació) i a informació recentment enviada, a més de poder realitzar accions en el lloc fent-se passar per la víctima.

Un segon problema residix en la possibilitat de realitzar atacs d’injecció SQL cega. Només usuaris autenticats poden explotar esta vulnerabilitat que residix en els següents arxius .do:

Sistemes Afectats:

McAfee ePolicy Orchestrator 4.6.6 (i versions anteriors).
ePO Extension per a McAfee Agent (MA) 4.5 a 4.6.

Referències:

None

Solució:

McAfee ha publicat les versions McAfee Agent 4.8 Extensió i McAfee Agent 4.6 Patch 3 Extensió Hotfix per a solucionar els problemes d’injecció SQL, disponible en: http://www.mcafee.com/us/downloads

Els problemes de cross-site scripting se solucionaran en ePO 4.6.7, que està planificat per a publicar a finals del tercer quadrimestre del 2013.

Notes:

Multiple Vulnerabilities in ePO 4.6.6 and earlier
McAfee Security Bulletin – McAfee ePO Extension for McAfee Agent 4.5 and 4.6 Blind SQL Injection Vulnerability
Hispasec una-al-dia

Font: Hispasec una-al-día

CSIRT-CV