当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Symantec Encryption Management Server本地命令注入漏洞(CV

     发表日期:2015-02-03 10:15:48

Symantec Encryption Management Server本地命令注入漏洞(CVE-2014-7288)
BugTraq-ID:72308
CVE-ID:CVE-2014-7288
发布日期:2015-01-29
更新日期:2015-01-30
受影响系统:
Symantec Encryption Management Server <= 3.3.2 MP6
详细信息:

Symantec Encryption Management Server可以管理并自动化加密解决方案的安全策略。

Symantec Encryption Management Server 3.3.2 MP6之前版本、Symantec PGP Universal Server 3.3.2 MP6之前版本存在shell命令行注入漏洞,恶意管理员提交数据库备份的请求时,利用此漏洞可获取服务器的访问特权。


来源:
Paul Craig (headpimp@pimp-industries.com)
参考信息:
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu
解决办法:
厂商补丁:

Symantec
--------
Symantec已经为此发布了一个安全公告(SYM15-002)以及相应补丁:
SYM15-002:Security Advisories Relating to Symantec Products - Symantec Encryption Management Server Database Backup Command Line Injection and Email Header Injection
链接:http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=secu