Graves vulnerabilidades en más de 40 productos de CA Technologies
Se han publicado dos vulnerabilidades en el ubicuo componente CA License que afectan a múltiples productos de CA Technologies y que podrían permitir la ejecución de comandos arbitrarios y la elevación de privilegios en el sistema afectado.
CA Technologies es una importante empresa desarrolladora de software que ha adquirido otras muchas compañías de la industria desde su fundación en 1976. Sus productos abarcan desde aplicaciones y soluciones empresariales para mainframes y computación distribuida, automatización, respaldo, virtualización y servicios en la nube, hasta antivirus y software de seguridad para usuarios finales.
Más de 40 productos de la compañía para diversas plataformas como GNU/Linux, HP-UX, IBM AIX, Mac OS X, Solaris, Windows, etc. que hacen uso del componente CA License, se encuentran afectados. La lista completa de productos se puede consultar desde el enlace del apartado “Más información”.
Los dos errores en el componente CA License que se describen a continuación son los causantes de estas vulnerabilidades:
El primer error es debido a una incorrecta restricción de los comandos del sistema. De esta forma, un atacante local sin privilegios podría aprovechar ese fallo para ejecutar comandos con permisos de SYSTEM. Esta vulnerabilidad ha sido identificada como CVE-2012-0691.
El otro error se debe a una inadecuada validación del usuario, lo que podría permitir a un atacante local sin privilegios crear o modificar ficheros arbitrarios y elevar sus privilegios. Se ha identificado como CVE-2012-0692.
Las versiones vulnerables de CA License son la 1.90.02 y anteriores. Se puede utilizar el programa ‘lic98version’ para conocer la versión de CA License instalada. O consultar la fuente original para comprobar los productos afectados.
CA Technologies ha actualizado este componente a la versión 1.90.03 y ha publicado parches para cada uno de los productos afectados. Están disponibles para su descarga en la página oficial de la compañía.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.