Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > В продуктах СA найдены критические "дыры"

В продуктах СA найдены критические "дыры"

Четверг, 3 марта 2005 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Российские эксперты по информационной безопасности обнаружили множественные уязвимости в Computer Associates License Client and Server, позволяющие выполнить произвольный код с системными привилегиями.

Приложения Computer Associates License Client/Server предоставляют метод регистрации и лицензирования программного обеспечения и поставляются практически со всеми продуктами CA на различных платформах.

Переполнение буфера при работе Computer Associates License Client при обработке контрольной суммы или поля Network в GCR-ответе позволяет удаленному пользователю выполнить произвольный код на системе. Уязвимости связаны с отсутствием проверки входных данных в GCR-ответе. Удачная эксплуатация этих "дыр" позволит злоумышленнику выполнить произвольный код на уязвимой системе с привилегиями Local System.

Удаленное переполнение буфера возможно при работе Computer Associates License Client при обработке Getconfig-запроса. Клиентская и серверная части не обрабатывают должным образом последний параметр Getconfig-пакета. Удаленный пользователь может выполнить произвольный код на уязвимой системе с привилегиями Local System.

Возможность обхода каталога обнаружена в Computer Associates License Client. Удаленный пользователь может создать произвольный файл на системе. Уязвимость связана с обработкой имени файла в Putolf-запросе. Злоумышленник может послать в качестве префикса к имени файла символы обхода каталога и создать файл в произвольной директории на уязвимой системе.

Удаленное переполнение буфера возможно при работе Computer Associates International Inc. License Server при обработке имен файлов в Putolf-запросе. Злоумышленник может послать имя файла длиной более 252 байт и выполнить произвольный код на системе с привилегиями root(Unix) или Local System(Windows).

Удаленное переполнение буфера возможно при работе Computer Associates License Server and Client из-за неправильной обработки входных некорректных значений. Если пакет содержит длинную строку, которая не является командой, сервер генерирует сообщение в лог-файл, не проверяя длину строки. Злоумышленник может послать строку длиной более 2100 байт и выполнить произвольный код на системе.

Уязвимости имеют программы CA License Server 0.1.0.15 и CA License Client 0.1.0.15. "Дырам" присвоен рейтинг опасности "критическая". Для их использования есть эксплоит. Для решения проблемы следует установить обновление программ от производителя, сообщил Securitylab.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 513
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

12: 00
Цифра дня: Сколько получат победители чемпионата ВКонтакте по программированию? |
12: 00
У Минобороны появились засекреченные мобильники за 115 тыс руб |
11: 40
Есть ли жизнь на Марсе: насколько близки учёные к решению этого вопроса |
10: 20
Рынок принтеров, МФУ и копиров за год сократился на 1% |
10: 20
В России за предзаказ Meizu M6s подарят Pixelphone S1 |
10: 20
По прогнозу DSCC, рынок материалов OLED у 2022 году вырастет до 2,56 млрд долларов |
09: 20
За две недели HomePod заняла 3% рынка умных колонок |
08: 20
Новая Apple TV может получить расширенные игровые возможности |
08: 20
Компания Apple решила оставить конкурентов без батарей |
07: 20
Тим Кук: «Нас интересуют продукты и люди» |
07: 00
Air Hogs Supernova имеет элементы управления движением рук |
07: 00
Splave показал пару рекордов в категориях Cinebench-R15 и Geekbench3-Multi Core |
07: 00
Озвучены характеристики и стоимость смартфонов Sony Xperia XZ2 и XZ2 Compact |
18: 40
AMD представила встраиваемые процессоры Epyc Embedded и Ryzen Embedded |
18: 40
Представлен полнокадровый объектив Samyang XP 50mm F1.2 |
18: 40
OnePlus «разбила» смартфоны прохожих после сравнения с 5T |
17: 20
Началась установка часов, которые проработают 10 000 лет |
16: 40
Как получить отзывы от ваших клиентов |
16: 40
Сам себе водитель |
16: 40
Минобороны показало работу «Змея Горыныча» |
16: 20
Смартфон Samsung Galaxy S9 запечатлен на реальных фотографиях |
16: 20
Qualcomm дополнила соглашение с NXP, повысив цену |
16: 20
Не покупайте кабели USB-C. Лучше возьмите это |
16: 00
Скомпроментирована база пользователей Mageia |
15: 40
Новый приятный способ читать AndroidInsider.ru! |
15: 20
Apple хочет закупать кобальт напрямую у шахтеров |
14: 40
Видео дня: человек не может помешать новому «побегу» робота Boston Dynamics из лаборатории |
14: 40
Младший кроссовер Lexus покажут в марте |
14: 20
Huawei будет активнее использовать собственные SoC в смартфонах, постепенно отказываяcь от услуг Qualcomm и MediaTek |
14: 20
Samsung готова к выпуску Android Oreo для Galaxy Note 8 |
14: 20
iPhone дешевеет очень быстро. Сейчас докажем |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003