Symantec Sygate Management Server认证Applet远程SQL注入漏洞

漏洞信息详情

Symantec Sygate Management Server认证Applet远程SQL注入漏洞

• CNNVD编号：CNNVD-200602-020
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-0522
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2006-02-02
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-02-02
  
• 厂        商：
  
  symantec
• 漏洞来源：

Sygate Management Server是Sygate安全套件的管理端服务器，可以管理所有Sygate Security节点，定义和强制安全策略、配置监控网络的安全性。

Sygate Management Server处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞对服务器执行SQL注入攻击，非授权访问控制数据库。Sygate Management Server的Sygate.Servlet.login Applet对用户提交的uid参数未做充分地检查过滤，远程攻击者可以在输入中插入SQL命令非授权操作数据库。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://securityresponse.symantec.com/avcenter/security/Content/2006.02.01.html

来源: securityresponse.symantec.com

链接:http://securityresponse.symantec.com/avcenter/security/Content/2006.02.01.html

来源: VUPEN

名称: ADV-2006-0402

链接:http://www.frsirt.com/english/advisories/2006/0402

来源: XF

名称: symantec-sms-sql-injection(24413)

链接:http://xforce.iss.net/xforce/xfdb/24413

来源: BID

名称: 16452

链接:http://www.securityfocus.com/bid/16452

来源: OSVDB

名称: 22883

链接:http://www.osvdb.org/22883

来源: SECTRACK

名称: 1015561

链接:http://securitytracker.com/id?1015561

来源: SECUNIA

名称: 18689

链接:http://secunia.com/advisories/18689