Cabecera-v2-web.jpg

Inyección SQL ciega en McAfee ePolicy Orchestrator


Intel Security ha confirmado una vulnerabilidad en ePolicy Orchestrator que podrí­a permitir la realización de ataques de inyección SQL ciega.

McAfee ePolicy Orchestrator, también conocido como ePO, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.

El problema, con CVE-2016-8027, puede permitir la realización de ataques de inyección SQL ciega mediante peticiones HTTP post especí­ficamente manipuladas. El atacante podrá obtener información de la base de datos o la suplantación de un agente sin autenticación.

Este problema afecta a versiones ePolicy Orchestrator 5.1.3 (y versiones anteriores) y a ePO 5.3.2 (y versiones anteriores).

McAfee ha publicado parches para las versiones ePO 5.1.3, 5.3.1 y 5.3.2 que solucionan el problema y se encuentran disponibles desde: http://www.mcafee.com/us/downloads/downloads.aspx

  • Para ePO 5.1.3: EPO513HF1167014.zip

  • Para ePO 5.3.1: EPO531HF1179709.zip

  • Para ePO 5.3.2: EPO532HF1167013.zip

Versiones anteriores deberán actualizarse a las indicadas.


Fuente: hispasec.com



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11