McAfee ePolicy Orchestrator, llamado también McAfee ePo, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.
Recursos afectados
Estos problemas de seguridad afectan a McAfee ePolicy Orchestrator 4.6.6 (y versiones anteriores) y a ePO Extension para McAfee Agent (MA) 4.5 a 4.6.
Impacto de las vulnerabilidades
- La primera vulnerabilidad permite a usuarios remotos generar ataques de cross-site scripting que podrían permitir la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
- La segunda permite potencialmente realizar ataques de inyección SQL ciega. Solo usuarios autenticados pueden explotar esta vulnerabilidad.
Recomendación
- McAfee ha publicado las versiones McAfee Agent 4.8 Extension y McAfee Agent 4.6 Patch 3 Extension Hotfix para solucionar los problemas de inyección SQL, disponible en: http://www.mcafee.com/us/downloads
- Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que está planificado para publicar a finales del tercer cuatrimestre del 2013.
Más información:
- Multiple Vulnerabilities in ePO 4.6.6 and earlier https://kc.mcafee.com/corporate/index?page=content&id=KB78824
- McAfee Security Bulletin – McAfee ePO Extension for McAfee Agent 4.5 and 4.6 Blind SQL Injection Vulnerability https://kc.mcafee.com/corporate/index?page=content&id=SB10043
Fuente: Hispasec