Дата публикации: | 25.04.2006 |
Дата изменения: | 17.10.2006 |
Всего просмотров: | 1467 |
Опасность: | Средняя |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: |
CVE-2006-0231 CVE-2006-0232 CVE-2006-0230 |
Вектор эксплуатации: | Локальная сеть |
Воздействие: |
Раскрытие важных данных Обход ограничений безопасности |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Symantec Scan Engine 5.x |
Уязвимые версии: Symantec Scan Engine 5.0
Описание: 1. Ошибка дизайна обнаружена в механизме аутентификации, используемом Symantec Scan Engine. Удаленный пользователь может получить доступ к административному Web интерфейсу с помощью специально сформированного XML запроса. 2. Symantec Scan Engine использует статический частный DSA ключ для SSL соединения между сервером и административным приложением. Данный ключ не может быть изменен. Удаленный пользователь может произвести атаку «человек посредине» и расшифровать передаваемые данные между сервером и административным клиентом. 3. Symantec Scan Engine недостаточно ограничивает доступ к файлам в установочной директории приложения. Удаленный неавторизованный пользователь может с помощью HTTP запроса скачать произвольные файлы приложения, например: конфигурационные файлы, лог файлы сканирований и файлы с текущим описанием вирусов. URL производителя: www.symantec.com Решение: Установите последнюю версию (5.1) с сайта производителя. |
|
Ссылки: |
Rapid7 Advisory R7-0021: Symantec Scan Engine Authentication Fundamental Design Error Rapid7 Advisory R7-0022: Symantec Scan Engine Known Immutable DSA Private Key Rapid7 Advisory R7-0023: Symantec Scan Engine File Disclosure Vulnerability [Symantec Security Advisor] Symantec Scan Engine Multiple Vulnerabilities |