Symantec ha confirmado tres vulnerabilidades en Symantec Endpoint Protection que podrían permitir a un usuario remoto autenticado realizar ataques de inyección SQL y a usuarios locales elevar sus privilegios en el sistema o crear condiciones de denegación de servicio.
Endpoint Protection es una suite de seguridad que engloba protección antivirus y cortafuegos corporativo. Ofrece seguridad tanto para servidores, estaciones de trabajo o entornos virtuales. Es un producto multiplataforma que cuenta con una consola para su administración de forma remota.
El primero de los problemas, con CVE-2014-9229, podría permitir a un usuario autenticado realizar ataques deinyección SQL ciega sobre algunos scripts de la consola de administración. Por otra parte, una denegación de servicio local debido a una condición de bloquo mutuo («deadlock«) en ‘sysplant.sys‘ que incluso impedirá reiniciarse al sistema, lo que hace necesario apagarlo y arrancarlo por hardware (CVE-2014-9228).
Por último, una vulnerabilidad debido a inadecuadas restricciones en las rutas de carga de dlls podrá permitir la carga de dlls desde otros directorios. Un usuario local podrá situar una dll específicamente creada en alguno de los directorios afectados, de forma que posteriormente Endpoint Protection podrá cargar la dll maliciosa con privilegios del sistema(CVE-2014-9227).
Symantec ha publicado Endpoint Protection (SEP) 12.1.6 que soluciona los problemas.
Más información:
Security Advisories Relating to Symantec Products – Symantec Endpoint Protection Manager and Client Issues
Antonio Ropero
Twitter: @aropero
Deja una respuesta