Множественные уязвимости в EMC Documentum Content Server

Дата публикации:
11.06.2014
Дата изменения:
11.06.2014
Всего просмотров:
448
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2014-2506
CVE-2014-2507
CVE-2014-2508
Вектор эксплуатации:
Локальная сеть
Воздействие:
Неавторизованное изменение данных
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
EMC Documentum Content Server 6.x
EMC Documentum Content Server 7.x
Уязвимые версии: EMC Documentum Content Server 6.х, 7.х, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю выполнить произвольные DQL команды, обойти ограничения безопасности и выполнить произвольный код на целевой системе.

1. Уязвимость существует из-за того, что приложение не правильно проводит проверку при создании системных объектов. Удаленный пользователь может создать системные объекты с привилегии суперпользователя.

2. Уязвимость существует из-за недостаточной обработки входных данных в Documentum Content Server. Удаленный пользователь может внедрить и выполнить команды оболочки.

3. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного DQL запроса выполнить произвольный код DQL.

URL производителя: http://www.emc.com/

Решение: Установите последнюю версию 7.1 P05, 7.0 P15, 6.7 SP2 P14 или 6.7 SP1 P28 с сайта производителя.

Ссылки: http://archives.neohapsis.com/archives/bugtraq/2014-06/att-0051/ESA-2014-046.txt

или введите имя

CAPTCHA