CA Technologies исправила множественные уязвимости в CA Release Automation
Бреши позволяли злоумышленникам осуществить XSS-атаку, CSRF-нападение и SQL-инъекцию.
Одна из крупнейших компаний-производителей ПО в мире CA Technologies выпустила исправление для CA Release Automation, устраняющее множественные уязвимости в продукте. По данным бюллетеня, опубликованного на сайте компании, уязвимостям оказалась подвержена CA Release Automation 4.7.1 Build 413 и более ранние версии, работающие под управлением Windows, Linux или Solaris.
Первая брешь позволяла удаленному пользователю осуществить CSRF-нападение. Удаленный пользователь мог выполнять произвольные действия на уязвимой системе с привилегиями авторизованного пользователя. Брешь получила идентификатор CVE-2014-8246.
Вторая уязвимость (CVE-2014-8247) позволяла осуществить XSS-атаку. По данным бюллетеня на сайте CERT/CC, брешь существовала из-за ошибки в выводе сообщения об ошибке.
Третья уязвимость (CVE-2014-8248) позволяла злоумышленникам осуществить SQL-инъекцию. Удаленный пользователь с обычной учетной записью мог получить доступ к важным данным с помощью специально сформированного SQL-запроса.
Для устранения уязвимостей разработчик советует установить последнюю версию продукта.