Problemas de seguridad en McAfee ePolicy Orchestrator que podrían permitir la realización de ataques de Cross-Site Scripting y de inyección SQL fueron reportados.

McAfee ePolicy Orchestrator, también conocido como McAfee ePo, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas. 

 
Estos problemas de seguridad afectan a McAfee ePolicy Orchestrator 4.6.6 (y versiones anteriores) y a ePO Extension para McAfee Agent (MA) 4.5 a 4.6. 
 
Se han detectado multiples scripts que no filtran de forma adecuada el código HTML de las entradas de usuario antes de ser devueltas al usuario. Esto permite a usuarios remotos generar ataques de cross-site scripting que podrían permitir la ejecución arbitraria de código script en el navegador del usuario. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima. 
 
Los archivos afectados son los siguientes: 
/core/loadDisplayType.do [instanceId parameter] /console/createDashboardContainer.do [monitorUrl parameter] /console/createDashboardContainer.do [monitorUrl parameter] /ComputerMgmt/sysDetPanelBoolPie.do [uid parameter] /ComputerMgmt/sysDetPanelQry.do [uid parameter] /ComputerMgmt/sysDetPanelQry.do [sysDetPanelQry parameter] /ComputerMgmt/sysDetPanelSummary.do [sysDetPanelSummary parameter] /ComputerMgmt/sysDetPanelSummary.do [uid parameter] 
 
Un segundo problema reside en la posibilidad de realizar ataques de inyección SQL ciega. Solo usuarios autenticados pueden explotar esta vulnerabilidad que reside en los siguientes archivos .do: 
/core/showRegisteredTypeDetails.do [parámetro uid] /EPOAGENTMETA/DisplayMSAPropsDetail.do [parámetro uid] 
 
McAfee ha publicado las versiones McAfee Agent 4.8 Extension y McAfee Agent 4.6 Patch 3 Extension Hotfix para solucionar los problemas de inyección SQL, disponible en: http://www.mcafee.com/us/downloads
 
Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que está planificado para publicar a finales del tercer cuatrimestre del 2013. 

Opina sobre esta noticia: 

http://unaaldia.hispasec.com/2013/07/vulnerabilidades-en-mcafee-epolicy.html#comments
 
Más información:
 
Multiple Vulnerabilities in ePO 4.6.6 and earlier
https://kc.mcafee.com/corporate/index?page=content&id=KB78824
 
McAfee Security Bulletin – McAfee ePO Extension for McAfee Agent 4.5 and 4.6 Blind SQL Injection Vulnerability
https://kc.mcafee.com/corporate/index?page=content&id=SB10043

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar