研究人员在Quest设备中发现了超过60个安全漏洞

简介:

近日,Core Security公司的安全研究人员表示,他们已经在Quest公司产生的磁盘备份和系统管理设备中发现了超过60个安全漏洞。目前,该IT管理公司已经发布了修复程序,并威胁Core Security公司研究人员称,一旦其披露太多技术细节,将立即对其采取法律行动。

据Core Security研究人员介绍称,其在Quest的DR系列磁盘备份设备中发现了50多个安全漏洞,其中最严重的漏洞将允许远程和未经身份验证的攻击者,通过登录进程的“password”参数执行任意系统命令。

安全专家还在该产品中确定了其他45个命令注入问题,但这些问题都需要认证,目前危害性不大。此外,Core还声称已经发现了6个特权升级漏洞,允许攻击者获得设备的root权限。

据悉,此次发现的安全漏洞主要影响Quest DR系列磁盘备份软件4.0.3及其更早版本,并且该公司已经在4.0.3.1发行版中对这些漏洞进行了修复。

此外,Core公司在其发布的另一份安全公告中,还介绍了影响Quest KACE系统管理设备的11个安全漏洞。研究人员发现,该产品的Web控制台受到3个命令注入漏洞的影响,其中一个漏洞可能会被未经身份验证的攻击者利用。

针对该产品的安全漏洞列表还包括权限升级漏洞、SQL注入漏洞、跨站点脚本(XSS)以及路径遍历漏洞等。目前,这些漏洞已经通过适用于Quest KACE系统管理设备(SMA)版本7.0、7.1、7.2、8.0和8.1的修补程序完成了修复。

在披露KACE产品的安全漏洞期间,Quest公司警告Core称其工作已经违反了供应商的许可协议,并要求该安全公司不要公开其调查结果,以避免面临法律诉讼的结果。

据Quest公司官网介绍,其产品已经应用部署在全球超过13万家公司之中,且该公司确实拥有信息披露政策,但是该政策指出,任何漏洞报告都将被视为公司的机密和专有信息,不能向任何第三方披露。

目前,Core仅仅发布了有关每个漏洞的有限信息,但该公司表示,对于Quest公司的漏洞披露态度感到非常失望。Core表示,

自1997年以来,CoreLabs一直在发布安全公告,并且坚持在漏洞披露之前,与软件供应商进行协调和协作,以帮助确保在漏洞详细信息发布前准备好修复程序或解决方案。我们始终坚信,向用户提供关于每个发现的技术细节是非常有必要的行为,因为这样才能保证用户和相关组织能够充分了解漏洞信息及其对自身环境的影响。此外,最重要的是,帮助用户优先考虑旨在降低风险的缓解措施。


原文发布时间为:2018-06-5
本文来自云栖社区合作伙伴“ 嘶吼网”,了解相关信息可以关注“ 嘶吼网”。
相关文章
|
3月前
|
存储 SQL 安全
数字堡垒的裂缝:网络安全漏洞与信息保护的现代策略
随着数字化时代的深入发展,网络安全和信息安全成为维护个人隐私与企业资产的关键。本文将探讨当前网络环境中存在的安全威胁,包括软件漏洞、加密技术的演进以及提升安全意识的重要性。通过分析近期的安全事件和技术进展,我们将提供实用的防护措施和建议,旨在为读者构建一个更安全的数字生活和工作环境。
|
监控 安全 物联网
揭示 2022 年连网设备的真正风险
为了确定设备类型、行业部门和网络安全政策固有的风险点,最近的研究分析了金融服务、政府、医疗保健、制造和零售领域超过1900万台设备的风险状况,以揭示2022年风险最高的连网设备。
144 0
揭示 2022 年连网设备的真正风险
|
安全
调查|73%的公司正使用存在漏洞的超期服役设备
本文讲的是调查|73%的公司正使用存在漏洞的超期服役设备,一份新近的调查覆盖了北美350家机构的212000台思科设备。结果显示,73%的企业正在使用存在漏洞、超期服役的网络设备。该数字在上一年仅为60%。
1307 0