Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidades en Symantec Endpoint Protection y Network Access Control |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado |
Symantec Endpoint Protection 11.0 Symantec Endpoint Protection 12.1 Symantec Endpoint Protection Small Business Edition 12.0 Symantec Network Access Control 12.1 |
Descripción |
|
|
Symantec ha publicado un boletín de seguridad que corrige dos vulnerabilidades, una de ejecución de código remoto en Symantec Endpoint Protection y otra de escalado de privilegios en Symantec Network Access Control. Las vulnerabilidades son descritas a continuación: La vulnerabilidad CVE-2012-4348 reside en un error de falta de validación de parámetros de entrada en varios scripts PHP de la consola de administración de Symantec Endpoint Protection. Un atacante remoto no autorizado podría acceder a la consola de administración, ejecutar código arbitrario con los privilegios de la aplicación. La vulnerabilidad CVE-2012-4349 reside en un error en una ruta de búsqueda de recursos no especificada de Symantec Network Access Control. Un atacante local podría ejecutar código arbitrario o elevar sus privilegios mediante la colocación de un script en esta ruta para que se lanzara al iniciar la aplicación. |
|
Solución |
|
| Las actualizaciones de seguridad están disponibles mediante la opción LiveUpdate de cualquiera de los productos de Symantec afectados. | |
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2012-4348 CVE-2012-4349 |
| BID | |
Recursos adicionales |
|
|
Symantec Security Advisories SYM12-019 http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20121210_00 Hispasec - Vulnerabilidades en Symantec http://unaaldia.hispasec.com/2012/12/vulnerabilidades-en-symantec-endpoint_12.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-12-18 |