На этой неделе компания Symantec заявила об обнаружении уязвимостей в Scan Engine – программном интерфейсе, который позволяет третьим компаниям включать технологии сканирования в свои приложения. Производитель программных продуктов по безопасности обозначил найденные уязвимости “средними” по уровню опасности.
Согласно информационным сообщениям, первая ошибка состоит в работе механизма аутентификации, то есть с помощью специально сформированного XML-запроса можно получить доступ к веб-интерфейсу с возможностью администрирования.
Вторая ошибка может быть использована злоумышленником для организации MITM (man-in-the-middle)-атаки для получения полного контроля над каналом связи клиент-сервер. Так как, согласно заявлению Symantec, для организации канала связи между сервером и приложением управления по протоколу SSL используется DSA-ключ, который и может быть перехвачен.
Третья ошибка связана с некорректными правами на директорию инсталляции Scan Engine, что позволяет неавторизованному пользователю получить полный доступ к указанной директории.
Разработчиками Symantec уже выпущена обновленная версия Symantec Scan Engine версии 5.1, и пользователям настоятельно рекомендуется обновить версию движка.