Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > В продуктах СA найдены критические "дыры"

В продуктах СA найдены критические "дыры"

Четверг, 3 марта 2005 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Российские эксперты по информационной безопасности обнаружили множественные уязвимости в Computer Associates License Client and Server, позволяющие выполнить произвольный код с системными привилегиями.

Приложения Computer Associates License Client/Server предоставляют метод регистрации и лицензирования программного обеспечения и поставляются практически со всеми продуктами CA на различных платформах.

Переполнение буфера при работе Computer Associates License Client при обработке контрольной суммы или поля Network в GCR-ответе позволяет удаленному пользователю выполнить произвольный код на системе. Уязвимости связаны с отсутствием проверки входных данных в GCR-ответе. Удачная эксплуатация этих "дыр" позволит злоумышленнику выполнить произвольный код на уязвимой системе с привилегиями Local System.

Удаленное переполнение буфера возможно при работе Computer Associates License Client при обработке Getconfig-запроса. Клиентская и серверная части не обрабатывают должным образом последний параметр Getconfig-пакета. Удаленный пользователь может выполнить произвольный код на уязвимой системе с привилегиями Local System.

Возможность обхода каталога обнаружена в Computer Associates License Client. Удаленный пользователь может создать произвольный файл на системе. Уязвимость связана с обработкой имени файла в Putolf-запросе. Злоумышленник может послать в качестве префикса к имени файла символы обхода каталога и создать файл в произвольной директории на уязвимой системе.

Удаленное переполнение буфера возможно при работе Computer Associates International Inc. License Server при обработке имен файлов в Putolf-запросе. Злоумышленник может послать имя файла длиной более 252 байт и выполнить произвольный код на системе с привилегиями root(Unix) или Local System(Windows).

Удаленное переполнение буфера возможно при работе Computer Associates License Server and Client из-за неправильной обработки входных некорректных значений. Если пакет содержит длинную строку, которая не является командой, сервер генерирует сообщение в лог-файл, не проверяя длину строки. Злоумышленник может послать строку длиной более 2100 байт и выполнить произвольный код на системе.

Уязвимости имеют программы CA License Server 0.1.0.15 и CA License Client 0.1.0.15. "Дырам" присвоен рейтинг опасности "критическая". Для их использования есть эксплоит. Для решения проблемы следует установить обновление программ от производителя, сообщил Securitylab.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 478
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

17: 21
МТС запустил приложение МТС ТВ на Apple TV |
16: 41
Угонщика заперли в машине через интернет |
16: 41
Криотехнологии: современные достижения и прогнозы на будущее |
16: 21
Одноклассники запустили денежные переводы группам |
16: 21
Доля Android Nougat растет, но крайне медленно |
16: 21
Кейс из России: Как «Атлас» продавал тесты в «Черную пятницу» при помощи онлайн-голосования в Facebook Live |
16: 01
HyperDrive превратит MacBook Pro 2016 действительно в Pro |
16: 01
Почему надо придумывать имена звездам |
16: 01
Чёрная дыра в центре галактики: без паники! |
16: 01
HTC One M9 начинает обновляться до Android Nougat |
16: 01
Суд отменил арест 9 млрд рублей IKEA после вмешательства бизнес-омбудсмена Бориса Титова |
16: 01
Рождественская реклама 2016 года — Грустный Франкенштейн и кошачий бунт |
15: 41
ICQ для iOS научилась обрабатывать нейросетями видео и фото |
15: 41
Google научила свой искусственный интеллект мечтать |
15: 01
«Одноклассники» запустили денежные переводы администраторам сообществ |
14: 41
ВКонтакте научились упоминать пользователей в чатах |
14: 41
У какого айфона быстрее LTE – российского или американского? |
14: 41
Прочность титанового iPhone 7 проверили пистолетом |
14: 41
Смартфон Zuk Edge выйдет 7 декабря |
14: 41
Смартфон BLUBOO Dual доступен для презаказа |
14: 41
Одноплатный компьютер Firefly-RK399 собран на 6-ядерном процессоре |
14: 41
Google выпустил Android 7.1.1 Nougat для своих смартфонов |
14: 41
Флагманский смартфон LG G6 не боится воды |
14: 41
В смартфоне Uhans H5000 за $110 установлена АКБ емкостью 4500 мАч |
14: 41
Продажи умных часов Apple упали ниже плинтуса |
14: 41
Новую систему блокировки в iOS легко взломать |
14: 41
Google выпустила обновление Android 7.1.1 |
14: 41
Ключи и лампочки Томаса Эдисона пойдут с молотка |
14: 41
3D-моделирование зубов по фото и видео: новая технология |
14: 41
МТС запустила на Apple TV приложение с ТВ-каналами и кино по запросу |
14: 01
Онлайн-кинотеатр ivi вышел на рынки Америки и Европы для продвижения российских фильмов |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003