В CA Release Automation исправлены уязвимости

03 Компания CA Technologies является одним из крупнейших производителей корпоративного программного обеспечения в мире. Продукт CA Release Automation по сей день считается одним из самых надёжных и защищённых, но даже в нём периодически находятся бреши в защите, которые могут использоваться злоумышленниками.

Как сказано в официальном пресс-релизе компании, CA Release Automation 4.7.1 Build 413 и более ранние версии содержала ряд уязвимостей. Они затрагивали вариации для всех платформ: Windows, Linux, Solaris.

Первая заплатка была создана для CSRF, посредством которой пользователь мог осуществлять удалённое нападение на систему. Идентификатор — CVE-2014-8246. Произвольные действия могли выполняться именно за счёт того, что человек получал все права и привилегии члена администраторской группы. Исправлен баг с работой неавторизованного пользователя, в результате чего уязвимость перестала существовать.

Вторая ошибка (CVE-2014-8247) помогала выполнять XSS-атаки, поскольку отчёт с сообщениями об ошибке не выводился корректным образом. В официальном отчёте CERT/CC подробно рассмотрены основные причины такой ситуации. Была и третья уязвимость, носящая название CVE-2014-8248. Она представляла собой инъекцию SQL, посредством которой удалённый пользователь мог получать доступ к различной конфиденциальной информации. Для этого требовалось правильно сформировать запрос SQL.

Разработчик рекомендует пользователям регулярно устанавливать самые свежие обновления, поскольку это гарантирует безопасность данных, а также наиболее актуальную и проверенную защиту от взлома информационных баз. Обновления затрагивают версии ПО для всех операционных систем и выпускаются практически одновременно.