martes, 2 de octubre de 2012

Graves vulnerabilidades en más de 40 productos de CA Technologies

Se han publicado dos vulnerabilidades en el ubicuo componente CA License que afectan a múltiples productos de CA Technologies y que podrían permitir la ejecución de comandos arbitrarios y la elevación de privilegios en el sistema afectado.

CA Technologies es una importante empresa desarrolladora de software que ha adquirido otras muchas compañías de la industria desde su fundación en 1976. Sus productos abarcan desde aplicaciones y soluciones empresariales para mainframes y computación distribuida, automatización, respaldo, virtualización y servicios en la nube, hasta antivirus y software de seguridad para usuarios finales.

Más de 40 productos de la compañía para diversas plataformas como GNU/Linux, HP-UX, IBM AIX, Mac OS X, Solaris, Windows, etc. que hacen uso del componente CA License, se encuentran afectados. La lista completa de productos se puede consultar desde el enlace del apartado "Más información".

Los dos errores en el componente CA License que se describen a continuación son los causantes de estas vulnerabilidades:

  • El primer error es debido a una incorrecta restricción de los comandos del sistema. De esta forma, un atacante local sin privilegios podría aprovechar ese fallo para ejecutar comandos con permisos de SYSTEM. Esta vulnerabilidad ha sido identificada como CVE-2012-0691.
        
  • El otro error se debe a una inadecuada validación del usuario, lo que podría permitir a un atacante local sin privilegios crear o modificar ficheros arbitrarios y elevar sus privilegios. Se ha identificado como CVE-2012-0692.


Las versiones vulnerables de CA License son la 1.90.02 y anteriores. Se puede utilizar el programa 'lic98version' para conocer la versión de CA License instalada. O consultar la fuente original para comprobar los productos afectados.

CA Technologies ha actualizado este componente a la versión 1.90.03 y ha publicado parches para cada uno de los productos afectados. Están disponibles para su descarga en la página oficial de la compañía.

Más información:

CA20121001-01: Security Notice for CA License




Juan José Ruiz

No hay comentarios:

Publicar un comentario en la entrada