Symantec исправила бреши в ПО, обеспечивающем безопасность данных

Уязвимости позволяли злоумышленникам получить доступ с повышенными привилегиями к серверам управления.

Компания Symantec  исправила  уязвимости в своих программных продуктах, обеспечивающих безопасность данных. Бреши позволяли злоумышленникам получить доступ с повышенными привилегиями к серверам управления. Обновления включают исправления проблем в Symantec Critical System Protection (SCSP) 5.2.9 и Data Center Security: Server Advanced (SDCS:SA) (версии 6.0.x и 6.0 MP1).

По словам специалиста австрийской ИБ-компании SEC Consult Стефана Вибека (Stefan Viehböck),  проинформировавшего  Symantec об уязвимостях в ноябре прошлого года, преступники могут полностью скомпрометировать сервер SDCS:SA, получив доступ к системе и уровню базы данных. После проникновения в систему хакеры получают возможность передвижения внутри корпоративной сети и могут обойти защиту клиента.

Эксплуатация четырех из обнаруженных брешей позволяла выполнить внедрение SQL-кода (CVE-2014-7289), благодаря чему злоумышленник мог получить доступ к базам данных. Эксплуатация уязвимости межсайтового скриптинга (CVE-2014-9224) позволяла атакующему похитить сессии других пользователей и получить доступ к интерфейсу администратора. Еще одна уязвимость CVE-2014-9225 относится к типу information disclosure. Ее использование позволяет неавторизованному пользователю определить данные приложений внутреннего сервера, номера версий сервера и установленные обновления.