У CA Release Automation виправлені вразливості

03 Компанія CA Technologies є одним з найбільших виробників корпоративного програмного забезпечення в світі. Продукт CA Release Automation донині вважається одним із самих надійних і захищених, але навіть у ньому періодично знаходяться прогалини в захисті, які можуть використовуватися зловмисниками.

Як сказано в офіційному прес-релізі компанії, CA Release Automation 4.7.1 Build 413 і більш ранні версії містили ряд вразливостей. Вони торкалися варіації для всіх платформ: Windows, Linux, Solaris.

Перша латочка була створена для CSRF, за допомогою якої користувач міг здійснювати віддалений напад на систему. Ідентифікатор - CVE-2014-8246. Довільні дії могли виконуватися саме за рахунок того, що людина отримувала всі права і привілеї члена адміністраторської групи. Виправлений баг з роботою неавторизованого користувача, в результаті чого уразливість перестала існувати.

Друга помилка (CVE-2014-8247) допомагала виконувати XSS-атаки, оскільки звіт з повідомленнями про помилку не виводився коректним чином. В офіційному звіті CERT / CC детально розглянуті основні причини такої ситуації. Була й третя уразливість, що носить назву CVE-2014-8248. Вона являла собою ін'єкцію SQL, за допомогою якої віддалений користувач міг отримувати доступ до різної конфіденційної інформації. Для цього було потрібно правильно сформувати запит SQL.

Розробник рекомендує користувачам регулярно встановлювати найсвіжіші оновлення, оскільки це гарантує безпеку даних, а також найбільш актуальний і перевірений захист від злому інформаційних баз. Оновлення зачіпають версії ПЗ для всіх операційних систем і випускаються практично одночасно.

Комментариев: 2 на “У CA Release Automation виправлені вразливості

Добавить комментарий

Ваш e-mail не будет опубликован.