Anunciadas varias vulnerabilidades en Sybase EAServer, que podrían permitir a un atacante remoto obtener archivos de los sistemas afectados.
EAServer es un servidor de aplicaciones desarrollado por la empresa Sybase, incluye un conjunto de herramientas que se usan para crear y ejecutar aplicaciones Web con soporte a altos niveles de tráfico, contenido dinámico y procesamiento intensivo de transacciones en línea.
Impacto de las vulnerabilidades
- La primera vulnerabilidad podría permitir realizar una escalada de directorios para visualizar archivos en el sistema vulnerable:
- La otra vulnerabilidad podría permitir a un atacante remoto listar directorios arbitrarios y visualizar cualquier archivo de los sistemas afectados. Esto podría permitir la obtención de credenciales administrativas de los archivos de configuración.
Recomendación
Sybase ha publicado parches con el fin de actaulizar los sistemas afectados disponibles desde http://www.sybase.com/downloads.
Más información
Multiple vulnerabilities Sybase EAServer https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130719-0_Sybase_Application_Server_Multiple_Vulnerabilities_v10.txt
Fuente: Hispasec
