lunes, 7 de junio de 2010

Inyección SQL en RSA Key Manager

Se ha anunciado la existencia de una vulnerabilidad de inyección de comandos SQL en RSA Key Manager (versiones 1.5).

RSA Key Manager es una tecnología de administración de claves de cifrado centralizada destinada a que las compañías puedan centralizar las directivas de seguridad de toda la organización.

El cliente RSA Key Manager utiliza una base de datos SQLite para mantener las claves de cifrado, sin embargo el software no valida adecuadamente los meta-datos introducidos por los usuarios. De esta forma, un usuario con acceso a los datos cifrados del RSA Key Manager podría introducir un parámetro especialmente creado para lograr la ejecución de comandos SQL en la base de datos. El atacante podría emplear esta vulnerabilidad para modificar las claves existentes, eliminarlas o añadir nuevas claves.

RSA recomienda actualizar a la última versión del software (las versiones 2.0.x y superiores no se ven afectadas).


Antonio Ropero
antonior@hispasec.com


Más información:

RSA Key Manager SQL injection Vulnerability ( CVE-2010-1904 )
http://seclists.org/bugtraq/2010/Jun/49

No hay comentarios:

Publicar un comentario en la entrada