Symantec Encryption Management Server 3.3.2 < 3.3.2 MP12 の複数の脆弱性(SYM16-002)
high Nessus プラグイン ID 88903
Language:
概要
リモートホストで実行中のセキュリティポリシー管理アプリケーションは、複数の脆弱性の影響を受けます。説明
リモートホストで実行中の Symantec Encryption Management Server のバージョンは、3.3.2 MP12 よりの 3.3.2 です。したがって、以下の複数の脆弱性による影響を受けます:- LDAP サービスでの詳細不明な欠陥により、リモートの攻撃者は、細工された LDAP リクエストを通じて、サーバーで有効な管理者アカウントに関する機密情報を収集することが可能です。(CVE-2015-8148)
- ユーザー指定の入力を適切に検証することに失敗するため、LDAP サービスにサービス拒否が存在します。認証されていないリモートの攻撃者は、これを悪用して、細工されたリクエストパケットを通じて、メモリブロックヘッダーを破損させることで、SIGSEGV フォールトを引き起こし、サービスを停止させる可能性があります。(CVE-2015-8149)
- 既存のバッチファイルを通じて実行する、スケジュール設定コマンドに関連する詳細不明な欠陥が存在します。通常、これは root 権限で実行します。ローカルの攻撃者は、これを悪用して、サーバーで昇格された権限を取得する可能性があります。
(CVE-2015-8150)
- 特定のユーザー指定の入力フィールドを適切にサニタイズすることに失敗するため、Web ユーザインターフェイスにコマンド注入の脆弱性が存在します。認証されたリモートの攻撃者は、これを悪用して、下層のオペレーティングシステムで、昇格された特権で任意のコマンドを実行する可能性があります。
(CVE-2015-8151)
ソリューション
Symantec Encryption Management Server バージョン 3.3.2 MP12 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 88903
ファイル名: symantec_encryption_server_SYM16-002.nasl
バージョン: 1.12
タイプ: remote
ファミリー: Misc.
公開日: 2016/2/23
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.5
CVSS v2
リスクファクター: Medium
基本値: 6.3
現状値: 4.7
ベクトル: CVSS2#AV:L/AC:M/Au:M/C:C/I:C/A:C
CVSS スコアのソース: CVE-2015-8150
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:symantec:encryption_management_server
必要な KB アイテム: LDAP/symantec_encryption_server/detected
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2016/2/18
脆弱性公開日: 2016/2/18
参照情報
CVE: CVE-2015-8148, CVE-2015-8149, CVE-2015-8150, CVE-2015-8151