Fueron reportadas vulnerabilidades en el producto Sophos Web Appliance (versiones 3.7.8.1 y anteriores), que podrían permitir a un usuario remoto construir ataques de cross-site scripting, obtener archivos del …

 …  sistema y en caso de usuarios autenticados ejecutar comandos arbitrarios. 

Los productos de la familia Sophos Web Appliance permiten una protección contra programas maliciosos de Internet, filtrado de direcciones web y control del contenido en un dispositivo de seguridad para la puerta de enlace de Internet. 

 
El primero de los problemas (con CVE-2013-2641) puede permitir a un usuario remoto visualizar archivos remotos del sistema atacado, esto podría emplearse para conseguir archivos de configuración, contraseñas en texto claro o IDs de sesiones. 
 
Otro problema (con CVE-2013-2642) podría permitir a un usuario remoto autenticado ejecutar commandos del sistema mediante una petición específicamente creada a la función Diagnostic Tools. 
 
Por último, se han detectado múltiples scripts que no filtran adecuadamente el código HTML introducido por el usuario antes de devolver la entrada, lo que permitiría la realización de ataques cross-site scripting. 
 
Sophos ha publicado la actualización 3.7.8.2 para corregir estos problemas, que puede descargarse desde la página "Configuration > System 
> Updates" del sistema. Se han publicado pruebas de concepto de los
problemas anunciados, por lo que es importante la actualización de los sistemas afectados. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/04/diversas-vulnerabilidades-en-sophos-web.html#comments
 
Más información: 
 
Vulnerabilities reported in Sophos Web Appliance http://www.sophos.com/en-us/support/knowledgebase/118969.aspx

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar