Se han confirmado dos vulnerabilidades en Symantec LiveUpdate
Administrator (LUA) que podrían permitir a un atacante remoto modificar
contraseñas y efectuar ataques de inyección SQL.
LiveUpdate Administrator es una
utilidad empleada para actualizar los productos de Symantec, descargando las
actualizaciones desde los servidores de la compañía, verificando e instalándolas.
LiveUpdate se encuentra incluido en muchos productos de Symantec.
Detalle e Impacto de las vulnerabilidades
- Ambos problemas residen en la interfaz de administración web, el primero de ellos (con CVE-2014-1644) reside en que no se proporciona la adecuada protección en la autenticación de usuarios (específicamente en la función de recuperación de contraseña). De tal forma que un atacante puede forzar el restablecimiento de la contraseña de un usuario de LiveUpdate autorizado. El atacante solo requiere conocer la dirección de e-mail de un usuario autorizado, con lo que podrá llegar a tener acceso total a la interfaz de administración web.
- Por otra existe una vulnerabilidad de inyección SQL, debido a que la interfaz web no limpia adecuadamente las entradas proporcionadas por los usuarios (CVE-2014-1645). Este problema podría permitir a un atacante remoto realizar todo tipo de ataques relacionados con este tipo de vulnerabilidades.
- Symantec ha publicado la versión 2.3.2.110 que corrige estas vulnerabilidades disponible desde: http://www.symantec.com/business/support/index?page=content&id=TECH134809
- Security Advisories Relating to Symantec Products - Symantec LiveUpdate Administrator Unauthenticated/Unauthorized Account Access Modification and SQL injections http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20140327_00