Luki w zabezpieczeniach CA Release Automation zostały naprawione

CA Technologies jest jednym z największych producentów oprogramowania dla przedsiębiorstw na świecie. Produkt ca Release Automation jest do dziś uważany za jeden z najbardziej niezawodnych i bezpiecznych, ale nawet w nim okresowo znajdują się luki w zabezpieczeniach, które mogą być wykorzystywane przez intruzów.

Jak stwierdzono w oficjalnym komunikacie prasowym firmy, ca Release Automation 4.7.1 Build 413 i wcześniejsze wersje zawierały szereg luk w zabezpieczeniach. Dotyczyły one zmian na wszystkich platformach: Windows, Linux, Solaris.

Pierwsza łatka została stworzona dla CSRF, dzięki której użytkownik mógł przeprowadzić zdalny atak na system. IDENTYFIKATOR to CVE-2014-8246. Działania arbitralne mogły być wykonywane właśnie ze względu na to, że dana osoba otrzymywała Wszystkie prawa i przywileje członka grupy administratorskiej. Naprawiono błąd nieautoryzowanego użytkownika, który spowodował, że luka przestała istnieć.

Drugi błąd (CVE-2014-8247) pomagał w przeprowadzaniu ataków XSS, ponieważ raport z komunikatami o błędzie nie był wyświetlany poprawnie. Oficjalny raport CERT / CC szczegółowo omawia główne przyczyny takiej sytuacji. Była też trzecia luka w zabezpieczeniach, zwana CVE-2014-8248. Była to iniekcja SQL, za pomocą której zdalny użytkownik mógł uzyskać dostęp do różnych poufnych informacji. Wymagało to prawidłowego wygenerowania zapytania SQL.

Deweloper zaleca użytkownikom regularne instalowanie najnowszych aktualizacji, ponieważ gwarantuje to bezpieczeństwo danych, a także najbardziej aktualną i sprawdzoną ochronę przed włamaniem do bazy danych. Aktualizacje dotyczą wersji oprogramowania dla wszystkich systemów operacyjnych i są wydawane niemal jednocześnie.