miércoles, 2 de abril de 2014

Vulnerabilidades graves en Symantec LiveUpdate Administrator

Se han confirmado dos vulnerabilidades en Symantec LiveUpdate Administrator (LUA) que podrían permitir a un atacante remoto modificar contraseñas y efectuar ataques de inyección SQL.

LiveUpdate Administrator es una utilidad empleada para actualizar los productos de Symantec, descargando las actualizaciones desde los servidores de la compañía, verificando e instalándolas. LiveUpdate se encuentra incluido en muchos productos de Symantec.

Ambos problemas residen en la interfaz de administración web, el primero de ellos (con CVE-2014-1644) reside en que no se proporciona la adecuada protección en la autenticación de usuarios (específicamente en la función de recuperación de contraseña). De tal forma que un atacante puede forzar el restablecimiento de la contraseña de un usuario de LiveUpdate autorizado. El atacante solo requiere conocer la dirección de e-mail de un usuario autorizado, con lo que podrá llegar a tener acceso total a la interfaz de administración web.

Por otra existe una vulnerabilidad de inyección SQL, debido a que la interfaz web no limpia adecuadamente las entradas proporcionadas por los usuarios (CVE-2014-1645). Este problema podría permitir a un atacante remoto realizar todo tipo de ataques relacionados con este tipo de vulnerabilidades.

Symantec ha publicado la versión 2.3.2.110 que corrige estas vulnerabilidades disponible desde:

Más información:

Security Advisories Relating to Symantec Products - Symantec LiveUpdate Administrator Unauthenticated/Unauthorized Account Access Modification and SQL injections

No hay comentarios:

Publicar un comentario en la entrada