本周二�����,美國卡內基梅隆大學計算機緊急響應小組(CERT)協(xié)調中心發(fā)布公告��,波蘭安全研究員Julian Horoszkiewicz在惠普的ArcSight系列產(chǎn)品上發(fā)現(xiàn)了5個安全漏洞����。
漏洞一:上傳任意文件
認證的攻擊者可以利用ArcSight記錄器上的漏洞�,遠程上傳任意文件到受害者系統(tǒng)上。這使得攻擊者可在擁有應用程序權限的服務器上執(zhí)行惡意腳本����。該產(chǎn)品的配置輸入功能不會過濾文件名,因此攻擊者可以實現(xiàn)上傳任意文件的操作����。
漏洞二:內容篡改
認證的攻擊者可以篡改系統(tǒng)資源和解析器。之所以會存在這個問題是因為記錄器會允許所有的用戶訪問某些配置功能,如輸入�����、搜索和內容管理等功能���,當然攻擊者也可以了,正好趁機鉆了這個空子�����。
漏洞三:外部實體注入
Horoszkiewicz還發(fā)現(xiàn)記錄器內容輸入部分的XML解析器很容易受到XML外部實體注入攻擊�,攻擊者會利用這個漏洞在受害者服務器上執(zhí)行任意腳本。
惠普ArcSight產(chǎn)品上的漏洞主要有兩種類型:一種是跨站腳本(XSS)漏洞��;另外一種是跨站請求偽造(CSRF)漏洞��。攻擊者可利用跨站腳本(XSS)漏洞損壞或者修改系統(tǒng)規(guī)則和資源�����,利用跨站請求偽造(CSRF)漏洞篡改系統(tǒng)上的數(shù)據(jù)����。攻擊者會利用這些漏洞欺騙受害者訪問一個精心編制的惡意鏈接,至于會造成多大程度的傷害����,這個要取決于受害者的權限�����。
受影響的產(chǎn)品
ArcSight企業(yè)安全管理器(ESM):6.8c之前的所有版本
ArcSight記錄器:6.0p1之前的所有版本
POC
目前Horoszkiewicz已經(jīng)把ArcSight記錄器漏洞的POC上傳到了網(wǎng)上����,有興趣的小伙伴們可以去看看����。
安全建議
近日惠普發(fā)布軟件安全更新,修復了旗下ArcSight企業(yè)安全管理器(ESM)和ArcSight記錄器上的這些漏洞���,ArcSight產(chǎn)品是惠普公司的企業(yè)安全重要系列產(chǎn)品�����,建議用戶進行升級���。
小編推薦閱讀
