Kaseye cập nhật lỗi bảo mật cho hệ thống quản lý VSA

[WhiteHat News #ID:3333]

Nhà cung cấp giải pháp và quản lý điện toán đám mây Kaseya vừa ra bản cập nhật khắc phục một số lỗi trong sản phẩm Quản trị hệ thống ảo (VSA), đây là các lỗi từng được một chuyên gia nghiên cứu cung cấp.

Kaseya VSA là sản phẩm được sử dụng trong nhiều tổ chức, cho phép thực hiện đồng bộ tất cả các chức năng công nghệ trong một giao diện điều khiển duy nhất.

​

Đầu năm 2015, chuyên gia Pedro Ribeiro phát hiện lỗi xác định đường dẫn và hai lỗi tồn tại trong phần mềm VSA.

Lỗi xác định đường dẫn (CVE-2015-2862) có nguyên nhân từ giới hạn đường dẫn đến các thư mục hạn chế. Lỗ hổng này cho phép hacker xác thực việc chuyển hướng và tải về các tập tin tùy ý bằng cách gửi yêu cầu truy vấn HTPP giả mạo đến các máy được cài đặt phần mềm có lỗi.

Lỗ hổng chuyển hướng mở (CEV-2015-2863) có thể được sử dụng để chuyển hướng người dùng đến một tên miền định trước bằng cách lừa họ nhấn vào một liên kết tương tự như một liên kết hợp pháp.

Lỗi tải về tập tin tùy ý ảnh hưởng đến phiên bản VSA R9 và một số phiên bản liên quan khác. Lỗi này cũng ảnh hưởng trực tiếp đến các phiên bản R7.x, R8.x.

Hiên, Kaseya cập nhật các bản vá cho các phiên bản 9.1.0.4, 9.0.0.14, 8.0.0.18 và 7.0.029 để khắc phụ lỗi này.

Theo: Securityweek

​