Múltiples vulnerabilidades en Symantec Message Filter

Symantec ha publicado un boletín con múltiples vulnerabilidades en su
producto Message Filter que podrían permitir a un atacante remoto
revelar información, secuestrar la sesión de un usuario, y realizar
ataques Cross-Site Request Forgery (CSRF) y Cross-Site Scripting (XSS).

Message Filter es una solución de Symantec para hacer frente al correo
basura, phishing y fraudes por correo electrónico, virus, y cualquier
otro tipo de correo no deseado. Symantec Message Filter es ampliamente
utilizado por parte de empresas y grandes corporaciones.

Se han encontrado cuatro vulnerabilidades en Symantec Message Filter que
podrían ser aprovechadas por un atacante en la misma red o que haya
logrado acceder a ella. Son las siguientes, ordenadas por su
identificador CVE:

* CVE-2012-0300: Múltiples errores en el interfaz de gestión “Brightmail
Control Center” al no filtrar adecuadamente determinados parámetros de
entrada, así como un incorrecto control de acceso al puerto de escucha,
podrían permitir que un atacante consiguiera acceso a información a la
que no está autorizado.

* CVE-2012-0301: Una incorrecta gestión de sesiones podría ser
aprovechada para secuestrar la sesión de un usuario legítimo tras
conseguir que inicie una sesión después de seguir un enlace
especialmente diseñado.

* CVE-2012-0302: La falta de comprobación de determinado parámetro de
entrada antes de ser utilizado podría ser aprovechada por un atacante
para llevar a cabo ataques de Cross-Site Scripting y lograr ejecutar
código HTML y JavaScript arbitrario en el navegador de un usuario en el
contexto de un sitio afectado.

* CVE-2012-0303: Un error de falta de validación de solicitudes http
podría permitir que un atacante, engañando a un administrador que haya
iniciado sesión para que visite un sitio web malicioso, consiga realizar
ataques CSRF.

Las vulnerabilidades afectan a la versión 6.3 de Message Filter.
Symantec ha publicado un parche que corrige las anteriores
vulnerabilidades, disponible desde la página oficial. Además ha
anunciado con esta actualización el final del ciclo de soporte para este
producto.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies