漏洞信息详情
CA eTrust Security Command Center和eTrust Audit多个安全漏洞
- CNNVD编号:CNNVD-200609-380 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2006-4899
- 漏洞类型: 其他
- 发布时间: 2006-09-22
- 威胁类型: 远程
- 更新时间: 2021-04-12
- 厂 商: ca
- 漏洞来源: Patrick Webster pw...
-
漏洞简介
CA eTrust Security Command Center用于实时监控和管理企业安全的各个方面,eTrust Audit能收集有关企业级安全和系统的审计信息。
上述两个安全产品中存在多个安全漏洞,具体如下:
如果向ePPIServlet脚本发送了引号字符的话,eTrust Security Command Center就不会正确地处理PIProfile函数,导致泄漏Web主目录路径。
eTrust Security Command Center没有正确地验证getadhochtml函数所生成临时文件的位置,允许攻击者以服务帐户的权限读取或删除任意文件。
eTrust Security Command Center和Audit没有认证事件报警系统,允许攻击者发送误报警告。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://supportconnectw.ca.com/public/etrust/etrust_scc/infodocs/etrustscc_notice.asp
参考网址
来源:OSVDB
链接:http://www.osvdb.org/29009
来源:CONFIRM
链接:http://www3.ca.com/securityadvisor/blogs/posting.aspx?id=90744&pid=93243&date=2006/9
来源:SECUNIA
链接:http://secunia.com/advisories/22023
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/446611/100/0/threaded
来源:VUPEN
链接:http://www.vupen.com/english/advisories/2006/3738
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/29102
来源:BID
链接:https://www.securityfocus.com/bid/20139
来源:SECTRACK
链接:http://securitytracker.com/id?1016910
来源:MISC
链接:http://users.tpg.com.au/adsl2dvp/advisories/200608-computerassociates.txt
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/446716/100/0/threaded
来源:CONFIRM
链接:http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=34616
受影响实体
- Ca Etrust_security_command_center:1.0<!--2000-1-1-->
- Ca Etrust_security_command_center:8<!--2000-1-1-->
- Ca Etrust_security_command_center:8:Sp1:Cr1<!--2000-1-1-->
- Ca Etrust_security_command_center:8:Sp1:Cr2<!--2000-1-1-->
补丁
- CA eTrust Security Command Center和eTrust Audit多个安全漏洞的修复措施<!--2006-9-22-->
还没有评论,来说两句吧...