В CA Release Automation исправлены уязвимости

03Компания CA Technologies является одним из крупнейших производителей корпоративного программного обеспечения в мире. Продукт CA Release Automation по сей день считается одним из самых надёжных и защищённых, но даже в нём периодически находятся бреши в защите, которые могут использоваться злоумышленниками.

Как сказано в официальном пресс-релизе компании, CA Release Automation 4.7.1 Build 413 и более ранние версии содержала ряд уязвимостей. Они затрагивали вариации для всех платформ: Windows, Linux, Solaris.

Первая заплатка была создана для CSRF, посредством которой пользователь мог осуществлять удалённое нападение на систему. Идентификатор — CVE-2014-8246. Произвольные действия могли выполняться именно за счёт того, что человек получал все права и привилегии члена администраторской группы. Исправлен баг с работой неавторизованного пользователя, в результате чего уязвимость перестала существовать.

Вторая ошибка (CVE-2014-8247) помогала выполнять XSS-атаки, поскольку отчёт с сообщениями об ошибке не выводился корректным образом. В официальном отчёте CERT/CC подробно рассмотрены основные причины такой ситуации. Была и третья уязвимость, носящая название CVE-2014-8248. Она представляла собой инъекцию SQL, посредством которой удалённый пользователь мог получать доступ к различной конфиденциальной информации. Для этого требовалось правильно сформировать запрос SQL.

Разработчик рекомендует пользователям регулярно устанавливать самые свежие обновления, поскольку это гарантирует безопасность данных, а также наиболее актуальную и проверенную защиту от взлома информационных баз. Обновления затрагивают версии ПО для всех операционных систем и выпускаются практически одновременно.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.