CA eTrust Security Command Center和eTrust Audit多个安全漏洞

漏洞信息详情

CA eTrust Security Command Center和eTrust Audit多个安全漏洞

• CNNVD编号：CNNVD-200609-385
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-4900
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2006-09-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2021-04-12
  
• 厂        商：
  
  ca
• 漏洞来源：
  Patrick Webster pw…

CA eTrust Security Command Center用于实时监控和管理企业安全的各个方面，eTrust Audit能收集有关企业级安全和系统的审计信息。

上述两个安全产品中存在多个安全漏洞，具体如下：

如果向ePPIServlet脚本发送了引号字符的话，eTrust Security Command Center就不会正确地处理PIProfile函数，导致泄漏Web主目录路径。

eTrust Security Command Center没有正确地验证getadhochtml函数所生成临时文件的位置，允许攻击者以服务帐户的权限读取或删除任意文件。

eTrust Security Command Center和Audit没有认证事件报警系统，允许攻击者发送误报警告。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://supportconnectw.ca.com/public/etrust/etrust_scc/infodocs/etrustscc_notice.asp

来源:CONFIRM

链接:http://www3.ca.com/securityadvisor/blogs/posting.aspx?id=90744&pid=93243&date=2006/9

来源:SECUNIA

链接:http://secunia.com/advisories/22023

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/29104

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/446611/100/0/threaded

来源:VUPEN

链接:http://www.vupen.com/english/advisories/2006/3738

来源:BID

链接:https://www.securityfocus.com/bid/20139

来源:OSVDB

链接:http://www.osvdb.org/29010

来源:SECTRACK

链接:http://securitytracker.com/id?1016910

来源:MISC

链接:http://users.tpg.com.au/adsl2dvp/advisories/200608-computerassociates.txt

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/446716/100/0/threaded

来源:CONFIRM

链接:http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=34617