CA公布Project & Portfolio Management、Release Automation、Unified Infrastructure Management產品瑕疵,企業客戶請關注修補進度
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:410
CVE編號
內文
●概述:
CA Technologies前身為組合國際電腦股份有限公司(Computer Associates Inc),就大型機(mainframe)、分散式、虛擬化、雲端運算等異質IT環境,研發管理和保護技術方案,供應自動化及負載平衡相關服務,經分析三款特定軟體,計有9項中、高風險缺陷,系統恐受遠端攻擊,例PPM因輸入值過濾欠佳,易遭XSS與SQL隱碼攻擊,且XOG功能模組處理特製XML外部entity時,恐讓駭客伺機發動請求偽冒並觸及機敏資訊,另SSL密碼以明文無保護方式儲存;至於版本部署工具Release Automation則因物件反序列化錯誤而導致任意程式碼執行事件;負責基礎架構一致性的UIM,竟內建hard coded長密碼詞組與secret key,且對於檔案存取行為疏於身分認證,危及帳號安全和資料完整性;CA公司已釋出對應修補方式,使用上述產品之企業宜檢視安裝版本及修補進度。
●編註:
(1)專案卷宗管理(PPM)
Project & Portfolio Management(PPM)前身為CA Clarity PPM,經分經析有數項漏洞:
(1-1) XOG功能模組處理XML外部entity資料時出現異常,駭客可藉此製作server端的請求偽冒攻擊,亦可接觸機敏資訊。
(1-2)因gridExcelExport功能無法妥善檢驗輸入值,攻擊者能發動反映式cross-site scripting攻擊。
(1-3)同樣是輸入參數值過濾瑕疵,恐引發遠端SQL injection。
(1-4)囿於SSL密碼未受保護,直接以明文方式儲存,形成管理資訊外流隱憂。
(2)版本自動化工具(Release Automation)
在Release Automation軟體運作時,物件反序列化過程失當,只要接收處理惡意變造檔案,可觸發運算錯誤而衍生RCE事件。
(3)聯合架構管理(UIM)
研究指出Unified Infrastructure Management既有弱點,讓身處UIM所在網段之駭客,能在UIM探測器運作之主機設備,恣意執行UIM指令,原因如下:
(3-1)寫死密碼詞組,固定不變的密碼,詞組長度也不能保障安全。
(3-2)寫死secret key,遲早會被逆向工程破解,或者用來比對hash值,而逐一測試出用戶帳密。
(3-3)缺乏身分驗證,攻擊者能輕鬆進行檔案讀寫等操作。
影響產品
解決辦法
(2)針對Release Automation 6.3、6.4、6.5累進修補,參考https://support.ca.com/us/product-content/recommended-reading/technical-document-index/ca-release-automation-solutions-patches.html。
(3)PPM 14.3已停止支援服務、PPM 14.4今年10月31日服務終止、PPM 15.1支援到2019年4月30日,官方無修補,PPM 15.2、15.3修補請參閱https://support.ca.com/us/product-content/status/announcement-documents/2018/ca-ppm-15-2-cumulative-patch-6-ga-announcement.html、https://support.ca.com/us/product-content/status/announcement-documents/2018/ca-ppm-15-3-cumulative-patch-3-ga-announcement.html。
相關連結
- https://support.ca.com/us/product-content/recommended-reading/security-notices/ca20180829-02--securi
- https://securitytracker.com/id/1041591
- https://support.ca.com/us/product-content/recommended-reading/security-notices/ca20180829-01--securi
- https://nvd.nist.gov/vuln/detail/CVE-2018-13820
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13819
- https://nvd.nist.gov/vuln/detail/CVE-2018-13821
- https://nvd.nist.gov/vuln/detail/CVE-2018-13826
- https://nvd.nist.gov/vuln/detail/CVE-2018-13822
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13825
- https://nvd.nist.gov/vuln/detail/CVE-2018-13824
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13823
- https://support.ca.com/us/product-content/recommended-reading/security-notices/ca20180829-03--securi
- https://support.ca.com/us/product-content/recommended-reading/security-notices/ca20180829-03--securi
- https://specials-images.forbesimg.com/imageserve/591f460531358e03e5594af4/300x300.jpg?background=000