Обход ограничений безопасности в EMC Documentum D2

Дата публикации:
28.08.2014
Дата изменения:
28.08.2014
Всего просмотров:
715
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:A/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2014-2515
Вектор эксплуатации:
Локальная сеть
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
EMC Documentum D2 3.x
EMC Documentum D2 4.x
Уязвимые версии:
EMC Documentum D2 версии до 3.1P24
EMC Documentum D2 версии до 3.1SP1P02
EMC Documentum D2 версии до 4.0P11
EMC Documentum D2 версии до 4.1P16
EMC Documentum D2 версии до 4.2P05

Описание:
Уязвимости позволяют удаленному пользователю обойти ограничения безопасности.

Уязвимость существует из-за того, что методы "D2GetAdminTicketMethod" и "D2RefreshCacheMethod" предоставляют тикеты суперпользователя без проверки привилегий. Удаленный пользователь может получить доступ к защищенным данным и функционалу.

URL производителя: http://www.emc.com/enterprise-content-management/documentum-d2.htm

Решение: Установите последнюю версию с сайта производителя.



Ссылки: http://seclists.org/bugtraq/2014/Aug/att-92/ESA-2014-067.txt