Symantec
ha
confirmado tres vulnerabilidades en Symantec Endpoint Protection que
podrían permitir a un usuario remoto autenticado realizar ataques de inyección
SQL y a usuarios locales elevar sus privilegios en el sistema o crear
condiciones de denegación de servicio.
Endpoint Protection es una suite
de seguridad que engloba protección antivirus y cortafuegos corporativo. Ofrece
seguridad tanto para servidores, estaciones de trabajo o entornos virtuales. Es
un producto multiplataforma que cuenta con una consola para su administración
de forma remota.
El primero de los problemas, con
CVE-2014-9229, podría permitir a un usuario autenticado realizar ataques de
inyección SQL ciega sobre algunos scripts de la consola de administración. Por otra parte, una denegación de
servicio local debido a una condición de bloquo mutuo ("deadlock") en 'sysplant.sys' que incluso impedirá reiniciarse al sistema, lo que
hace necesario apagarlo y arrancarlo por hardware (CVE-2014-9228).
Por último, una vulnerabilidad debido
a inadecuadas restricciones en las rutas de carga de dlls podrá permitir la
carga de dlls desde otros directorios. Un usuario local podrá situar una dll
específicamente creada en alguno de los directorios afectados, de forma que posteriormente
Endpoint Protection podrá cargar la dll maliciosa con privilegios del sistema
(CVE-2014-9227).
Symantec ha publicado Endpoint Protection (SEP) 12.1.6 que soluciona los
problemas.
Más información:
Security Advisories Relating to Symantec
Products - Symantec Endpoint Protection Manager and Client Issues
Antonio Ropero