CERT-FI haavoittuvuustiedote 025/2005

3.3.2005

Haavoittuvuuksia Computer Associatesin ohjelmistoissa


Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

CA:n (Computer Associates) ohjelmistotuotteista on löydetty useita haavoittuvuuksia. Haavoittuvuudet koskevat CA:n ohjelmistojen lisensiointiin liittyviä asiakas -ja palvelinsovelluksia, joka toimitetaan lähes kaikkien CA:n ohjelmistotuotteiden mukana. Lisensiointi-sovelluksia käytetään CA:n ohjelmistoversioiden rekisteröinnissä.

Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista mm. suorittaa kohdejärjestelmässä omia komentojaan kohdejärjestelmän SYSTEM (Windows) tai ROOT (*NIX) -oikeuksin.

Lisätietoa haavoittuvuuksista on saatavilla mm. osoitteesta:

http://www.idefense.com/application/poi/display?type=vulnerabilities

HAAVOITTUVAT OHJELMISTOT:

Haavoittuvuudet koskevat CA:n lisensiointi-sovellusversioita 1.53 - 1.61.8, jotka on tarkoitettu AIX, DEC, HP-UX, Linux Intel, Linux s/390, Solaris, Windows tai Mac -käyttöjärjestelmäympäristöille.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva CA:n lisensiointi-sovellus turvallisella sovellusversiolla 1.61.9, tai sitä uudemmalla versiolla. Turvalliset sovellusversiot ovat ladattavissa osoitteesta:

http://supportconnectw.ca.com/public/reglic/downloads/licensepatch.asp#alp

LISÄTIETOA:

http://www.idefense.com/application/poi/display?type=vulnerabilities

http://supportconnectw.ca.com/public/ca_common_docs/security_notice.asp

PÄIVITYSHISTORIA:

03.03.2005: Julkaistu

Sivua päivitetty 17.07.2007

Tulostusversio