Forum: HispaMSX BBS

=?iso-8859-1?q?una-al-dia_=2825/09/2008=29_Vulnerabilidades_en_Symantec

From noticias@hispasec.com@2:341/201.99 to All on Fri Sep 26 05:40:02 2008

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-d�a 25/09/2008
Todos los d�as una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Vulnerabilidades en Symantec Veritas NetBackup 5.x y 6.x
--------------------------------------------------------

Se han encontrado dos vulnerabilidades en Symantec Veritas NetBackup
Server y Enterprise Server 5.x y 6.x que podr�an ser explotadas por un
atacante remoto autenticado, pero sin privilegios, para revelar
informaci�n sensible, corromper cierta informaci�n del sistema o
ejecutar c�digo arbitrario.

Symantec Veritas Backup es un popular y completo sistema de almacenado
y restauraci�n de copias de seguridad en red.

La primera vulnerabilidad est� causada por un fallo en la interfaz
gr�fica de administraci�n jnbSA (Java Administration GUI) que podr�a ser explotado por un atacante remoto autenticado en la GUI, pero sin
privilegios, para escalar privilegios y ejecutar comandos arbitarios.

La vulnerabilidad est� confirmada para las versiones 5.0, 5.1, 6.0, 6.5
y 6.5.1 de Symantec Veritas NetBackup Server y Enterprise Server.

La segunda vulnerabilidad est� causada por un error de validaci�n de
entrada en un control ActiveX incluido en el componente scheduler de
Symantec Veritas NetBackup Server y Enterprise Server para Windows. El
fallo podr�a dar lugar a un desbordamiento de b�fer y a la utilizaci�n
de m�todos inseguros, y podr�a ser aprovechado para causar una
denegaci�n de servicio o ejecutar c�digo arbitrario por medio de
Internet Explorer.

La vulnerabilidad est� confirmada para las versiones 5.1 anteriores a la
5.1 MP7, 6.0 anteriores a la 6.0 MP7, 6.5 anteriores a la 6.5.2 de
Symantec Veritas NetBackup Server y Enterprise Server.

Se recomienda actualizar a las siguientes versiones que en las que se
han solventado los problemas:

NetBackup Server/Enterprise Server sobre Windows 5.1 MP7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER30455
NetBackup Server/Enterprise Server sobre Windows 6.0 MP7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER32168
NetBackup Server/Enterprise Server sobre Windows 6.5.2: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER31008

NetBackup 5.1 Maintenance Pack 7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER30455

NetBackup 6.0 Maintenance Pack 7: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER32168

NetBackup 6.5.2: http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER31008

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3624/comentar

M�s informaci�n:

Symantec Advisory SYM08-016:
A non-privileged but authorized user could potentially leverage the NetBackup Java console to execute code with elevated privileges on the server. http://seer.entsupport.symantec.com/docs/308583.htm

Symantec Security Advisory SYM08-007:
Multiple Vulnerabilities in Scheduler component for NetBackup Server/Enterprise
Server on all supported Windows Platforms. http://seer.entsupport.symantec.com/docs/308669.htm

Laboratorio Hispasec
laboratorio@hispasec.com

Tal d�a como hoy:
-----------------

25/09/2007: Denegaci�n de servicio a trav�s de ptrace en Linux Kernel 2.6.x
http://www.hispasec.com/unaaldia/3258

25/09/2006: Parche no oficial para la vulnerabilidad VML
http://www.hispasec.com/unaaldia/2893

25/09/2005: Desbordamiento de b�fer en Veritas Storage Exec y StorageCentral
http://www.hispasec.com/unaaldia/2528

25/09/2004: Nuevo caso de 'phishing' a clientes de Banesto
http://www.hispasec.com/unaaldia/2163

25/09/2003: Nueva actualizaci�n de Portable OpenSSH
http://www.hispasec.com/unaaldia/1796

25/09/2002: Vulnerabilidad de seguridad en Mozilla y proyectos derivados
http://www.hispasec.com/unaaldia/1431

25/09/2001: Ataque de denegaci�n de servicio sobre SQUID
http://www.hispasec.com/unaaldia/1066

25/09/2000: La vulnerabilidad "locale" no afecta solo a sistemas LINUX
http://www.hispasec.com/unaaldia/701

25/09/1999: Problemas de Eudora con el plug-in PGP
http://www.hispasec.com/unaaldia/333

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)

Who's Online
Recent Visitors
- Guest
  from Polaris, Alpha Centauri via Telnet
- Volcanicsugar39
  from Coatzintla Veracruz Mexico via Telnet
- Guest
  from Amf via Telnet
- Guest
  from Eindhoven, Nl via Telnet

System Info

Sysop:	Karloch
Location:	Madrid, Spain
Users:	75
Nodes:	8 (0 / 8)
Uptime:	22:26:09
Calls:	1,495
Calls today:	2
Files:	17,895
D/L today:	427 files (15,365K bytes)
Messages:	65,822

=?iso-8859-1?q?una-al-dia_=2825/09/2008=29_Vulnerabilidades_en_Symantec

Who's Online

Recent Visitors

System Info