Se
han confirmado dos
vulnerabilidades en Symantec LiveUpdate Administrator (LUA) que podrían permitir a un atacante remoto
modificar contraseñas y efectuar ataques de inyección SQL.
LiveUpdate Administrator es una
utilidad empleada para actualizar los productos de Symantec, descargando las
actualizaciones desde los servidores de la compañía, verificando e
instalándolas. LiveUpdate se encuentra incluido en muchos productos de
Symantec.
Ambos problemas residen en la
interfaz de administración web, el primero de ellos (con CVE-2014-1644) reside
en que no se proporciona la adecuada protección en la autenticación de usuarios
(específicamente en la función de recuperación de contraseña). De tal forma que
un atacante puede forzar el restablecimiento de la contraseña de un usuario de
LiveUpdate autorizado. El atacante solo requiere conocer la dirección de e-mail
de un usuario autorizado, con lo que podrá llegar a tener acceso total a la
interfaz de administración web.
Por otra existe una vulnerabilidad
de inyección SQL, debido a que la interfaz web no limpia adecuadamente las
entradas proporcionadas por los usuarios (CVE-2014-1645). Este problema podría
permitir a un atacante remoto realizar todo tipo de ataques relacionados con
este tipo de vulnerabilidades.
Symantec ha publicado la versión
2.3.2.110 que corrige estas vulnerabilidades disponible desde:
Security Advisories Relating to Symantec
Products - Symantec LiveUpdate Administrator Unauthenticated/Unauthorized
Account Access Modification and SQL injections