发布日期:2014-03-27
更新日期:2014-03-31
受影响系统:
Symantec LiveUpdate Administrator 2.3
Symantec LiveUpdate Administrator 2.2.2.9
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 66399
CVE(CAN) ID: CVE-2014-1644
Symantecs LiveUpdate Administrator是实时更新管理程序。
Symantec LiveUpdate Administrator 2.3.2及更早版本的管理GUI没有正确保护Web接口的忘记密码功能,未授权用户如果知道已经授权的LUA用户的电子邮件地址,则可利用此漏洞重载任意密码,导致未授权访问。
<*来源:Stefan Viehböck
链接:?fid=security_advisory&pvid=secu
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Symantec
--------
Symantec已经为此发布了一个安全公告(SYM14-005)以及相应补丁:
SYM14-005:Security Advisories Relating to Symantec Products - Symantec LiveUpdate Administrator Unauthenticated/Unauthorized Account Access Modification and SQL injections
链接:?fid=security_advisory&pvid=secu
补丁下载:?page=content&id=TECH134809