Перейти к содержанию
100043, г.Ташкент, Чиланзар Е, 9.+998 71 2031999info@starlab.uzПон – Пят 09:00 – 18:00
Страница Facebook открывается в новом окнеСтраница Instagram открывается в новом окнеСтраница YouTube открывается в новом окнеСтраница Telegram открывается в новом окне
FAQ
Войти
Лицензионные программы
Лицензионные программы, антивирусы в Ташкенте и Узбекистане
Лицензионные программы
  • Главная
  • Блог
  • Программы
    • Антивирусы ESET NOD32 для дома
    • Антивирусы ESET NOD32 для Бизнеса
    • PRO32
    • Avast
    • Dr.Web
    • Kaspersky
    • Продукты Microsoft
    • Онлайн кинотеатр IVI
    • Другие программы
  • Оборудование
    • Jabra
  • Скачать
    • Скачать база антивируса ESET NOD32
    • Kaspersky
  • О нас
  • Контакты
 0

В корзинуОформить

  • Нет товаров в корзине.

Итого: 0 UZS

В корзинуОформить

Поиск:
  • Главная
  • Блог
  • Программы
    • Антивирусы ESET NOD32 для дома
    • Антивирусы ESET NOD32 для Бизнеса
    • PRO32
    • Avast
    • Dr.Web
    • Kaspersky
    • Продукты Microsoft
    • Онлайн кинотеатр IVI
    • Другие программы
  • Оборудование
    • Jabra
  • Скачать
    • Скачать база антивируса ESET NOD32
    • Kaspersky
  • О нас
  • Контакты

В ХРАНИЛИЩЕ ПАРОЛЕЙ CYBERARK ОБНАРУЖЕНА КРИТИЧЕСКАЯ УЯЗВИМОСТЬ

В ХРАНИЛИЩЕ ПАРОЛЕЙ CYBERARK ОБНАРУЖЕНА КРИТИЧЕСКАЯ УЯЗВИМОСТЬ

В ХРАНИЛИЩЕ ПАРОЛЕЙ CYBERARK ОБНАРУЖЕНА КРИТИЧЕСКАЯ УЯЗВИМОСТЬ

Проблема возникает из-за того, что web-сервер не справляется с десериализацией.

Исследователи кибербезопасности из фирмы RedTeam Pentesting GmbH обнаружили в решении для управления корпоративными паролями CyberArk Enterprise Password Vault критическую уязвимость, позволяющую злоумышленнику удаленно выполнить произвольный код и получить несанкционированный доступ к системе с привилегиями web-приложения.

Решения для управления корпоративными паролями (EPV) помогают организациям безопасно управлять учетными данными, контролируя пароли учетных записей в широком диапазоне клиентских и серверных операционных систем, коммутаторов и баз данных, защищая их от злоумышленников, а также инсайдеров.
Уязвимость CVE-2018-9843) существует в CyberArk Password Vault Web Access — .NET web-приложении, созданном для удаленного доступа к учетным записям.

Проблема возникает из-за того, что web-сервер не справляется с десериализацией, позволяя злоумышленникам выполнять код на сервере, обрабатывающем десериализованные данные.

По словам исследователей, при входе пользователя в учетную запись, приложение использует REST API для отправки запроса аутентификации на сервер, который включает заголовок авторизации, содержащий сериализованный объект .NET, закодированный в base64.

Данный объект содержит информацию о сеансе пользователя, однако исследователи обнаружили, что «целостность сериализованных данных не защищена».

Так как сервер не проверяет целостность сериализованных данных и не справляется с десериализационными операциями, злоумышленники могут просто манипулировать токенами аутентификации и внедрить вредоносный код в заголовок авторизации.

Исследователи также опубликовали PoC-код для демонстрации эксплуатации уязвимости с помощью инструмента ysoserial.net.

Команда уведомила производителя о проблеме. Предприятиям, использующим CyberArk Password Vault Web Access, настоятельно рекомендуется обновить программное обеспечение до версий 9.9.5, 9.10 или 10.2.

В качестве меры предотвращения эксплутации уязвимости предлагается отключить любой доступ к API в PasswordVault -> WebServices.

Поделиться этой записью
Поделиться в FacebookПоделиться в Facebook ТвитнутьПоделиться в Twitter Pin itПоделиться в Pinterest Поделиться в LinkedInПоделиться в LinkedIn Поделиться в WhatsAppПоделиться в WhatsApp

Навигация по записям

ПредыдущаяПредыдущая запись:SCHNEIDER ELECTRIC ИСПРАВИЛА КРИТИЧЕСКИЕ И ОПАСНЫЕ УЯЗВИМОСТИ В U.MOTION BUILDERСледующаяСледующая запись:ОПЕРАТОР WI-FI В МОСКОВСКОМ МЕТРО ДОПУСТИЛ КРУПНУЮ УТЕЧКУ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ

Похожие новости

Интернет-мошенничество - как его избежать
Как мошенники используют искусственный интеллект и нейронные сети для выманивания денег у простых людей. И как защитить себя от их тактики
24.03.2023
Пиратский антивирус статья на uzsoft.uz
Стоит ли использовать пиратский антивирус?
14.02.2023
ТОП 5 правил как избежать вирусного заражения ваших устройств
ТОП 5 правил как избежать вирусного заражения ваших устройств
09.01.2023
ESET объявляет о новом партнерстве с дистрибьютором ADEON International
ESET объявляет о новом партнерстве с дистрибьютором ADEON International
21.11.2022
Взлом капсульного отеля
Взлом капсульного отеля
30.08.2022
Игрока CS:GO взломали и украли предметов на $2 000 000
Игрока CS:GO взломали и украли предметов на $2 000 000
30.08.2022
Лицензионные программы

Copyright 2016 - 2022 © Theme Created By Starlab All Rights Reserved.
ООО Starlab, Адрес: 100043, г.Ташкент, Чиланзар Е, дом 9. ИНН: 304 426 154, ОКЭД: 58210,
Р/с: 20208000300691615001, АКБ "ТУРОН" банк Чиланзарский ф-л. МФО: 01084.
Принимаем: Uzcard HUMO VISA & MasterCard МИР