Symantec ha confirmado tres vulnerabilidades en Symantec Endpoint Protection que podrían permitir a un usuario remoto autenticado realizar ataques de inyección SQL y a usuarios locales elevar sus privilegios en el sistema o crear condiciones de denegación de servicio.
Endpoint Protection es
una suite de seguridad que engloba protección antivirus y cortafuegos
corporativo. Ofrece seguridad tanto para servidores, estaciones de trabajo o
entornos virtuales. Es un producto multiplataforma que cuenta con una consola
para su administración de forma remota.
Detalle e Impacto de las vulnerabilidades
- El
primero de los problemas, con CVE-2014-9229, podría permitir a un usuario
autenticado realizar ataques de inyección SQL ciega sobre algunos scripts
de la consola de administración. Por otra parte, una denegación de
servicio local debido a una condición de bloquo mutuo
("deadlock") en 'sysplant.sys' que incluso impedirá reiniciarse
al sistema, lo que hace necesario apagarlo y arrancarlo por hardware
(CVE-2014-9228).
- Por
último, una vulnerabilidad debido a inadecuadas restricciones en las rutas
de carga de dlls podrá permitir la carga de dlls desde otros directorios.
Un usuario local podrá situar una dll específicamente creada en alguno de
los directorios afectados, de forma que posteriormente Endpoint Protection
podrá cargar la dll maliciosa con privilegios del sistema (CVE-2014-9227).
Recomendación
- Symantec
ha publicado Endpoint Protection (SEP) 12.1.6 que soluciona los problemas.
- Symantec
Endpoint Protection Manager 12.1 RU6 está disponible desde Symantec File
Connect.https://symantec.flexnetoperations.com/
Más información:
- Security Advisories Relating to Symantec
Products - Symantec Endpoint Protection Manager and Client Issues http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20150617_00