問題: |
你使用賽門鐵克端點保護 (SEP) 或賽門鐵克網路存取控制
(SNAC),希望有關的 SYM14-004 賽門鐵克端點保護伺服器 (SEPM) 漏洞的詳細資訊。 |
風險說明 [Symantec SEPM高風險] |
Symantec Endpoint Protection Manager
(SEPM) 對於外部傳送過來的external XML data (透過port 9090 及8443)沒有適當處理,
因而存在一潛在風險, 入侵者可以透過SQL injection 手法成功入侵, 造成沒有授權的存取Server端敏感性資料問題。
|
|
解決方案: |
2 月 17 日(星期一),奧地利為基礎的安全顧問諮詢漏洞 SEC 實驗室計畫發佈到它發現在賽門鐵克端點保護關於安全性漏洞的資訊。關於SYM14-004
安全性漏洞的其他資訊,請閱讀賽門鐵克安全回應-SYM14-004 安全諮詢。
賽門鐵克產品工程師驗證了這些問題,並推出了重大更新來解決這些問題。目前賽門鐵克尚未發現有此一問題對我們客戶的不利影響的實例。但是,客戶必須對賽門鐵克端點保護管理伺服器(SEPM)11.0
至 12.1 升級這些更新,以確保它們仍然受保護。
若未安裝此賽門鐵克端點保護管理伺服器(SEPM) 重大更新,可能導致客戶暴露于潛在的威脅。如果沒有更新,賽門鐵克端點保護管理伺服器(SEPM)不能正確驗證外部
XML 資料被發送到管理主控台中,和對資料庫的查詢異常及風險。
升級到最新版本的賽門鐵克端點保護管理伺服器(SEPM) V12.1RU4a.
賽門鐵克已發佈產品更新兩個賽門鐵克端點保護管理伺服器(SEPM) 12.1.x 和賽門鐵克端點保護伺服器 11.0.x。若要完全減輕這些漏洞,更新管理主控台到
11.0 RU7 MP4a (11.0.7405.1424) 或 12.1 RU4a (12.1.4023.4080)。要獲得最新的版本,請閱讀文檔對於升級到最新版本的賽門鐵克端點保護的
12.1.x的最佳做法。
如果您僅有賽門鐵克網路存取控制(NAC)的授權,請聯繫賽門鐵克技術支援以下載更新。 |
|
未升級前的建議措施: |
1. Symantec 新的 IPS signature 27273 可以針對利用此弱點的攻擊行為進行偵測及攔截, 客戶可以先進行IPS
signature的更新, 暫時預防此問題的發生。
(目前尚未發現有任何針對此弱點的工具程式) 最新版本即包含 IPS 27273 的防護 (請參考最下方圖)
http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=27273
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=sep&pvid=sep1213&year=2014&suid=SEP_Jaguar-SU733-20140213.013
2. 透過Firewall攔截外部存取SEPM port 9090 及8443的封包。
|
影響版本: |
Product |
Version |
Build |
Solution(s) |
Symantec Endpoint Protection Manager |
11.0 |
All |
Update to SEPM 11.0 RU7-MP4a (11.0.7405.1424) or later |
Symantec Protection Center Small Business Edition |
12.0 |
All |
Update to SEPM 12.1 RU4a SBE (12.1.4023.4080) or later |
Symantec Endpoint Protection Manager |
12.1 |
All |
Update to SEPM 12.1 RU4a (12.1.4023.4080) or later |
|
|
賽門鐵克安全回應已發佈 IPS 特徵碼 27273,"Web 攻擊:賽門鐵克端點保護管理伺服器(
XXE",其中,檢測和阻止 HTTP 企圖利用這種性質的問題。可通過正常的賽門鐵克更新簽名。
能夠暫時緩解該漏洞升級賽門鐵克端點保護伺服器主控台之前,您可以阻止防火牆規則與受影響的埠。然而,如果你阻止的埠,管理主控台失去了特定的功能。你應審查實施之前的影響。
註: 下文提到是賽門鐵克端點保護伺服器預設埠。如果您更改了的通訊連接埠,請適當地改變防火牆規則。
步驟如下: |
- 添加防火牆規則來阻止你安裝賽門鐵克端點保護伺服器的電腦上的特定埠。此防火牆規則應適用于所有的主機和所有的應用程式。
- 要確認該規則應用成功,只需使用 telnet 連接埠。如果你正確地配置規則,防火牆成功阻止通信並不允許在埠上的連接。
|
註:有關創建防火牆規則使用賽門鐵克端點保護用戶端的說明,請參閱HOWTO81156: 添加一個新的防火牆規則。如果您配置的政策從賽門鐵克端點保護伺服器中,您將需要等待政策傳播給賽門鐵克端點保護用戶端安裝在
SEPM 伺服器上測試之前。
|
埠 |
封鎖埠號後影響 |
替代解決方案 |
9090
(web 主控台埠) |
賽門鐵克端點保護伺服器的主頁上沒有存取權限。 |
無 |
不能下載安裝遠端 JAVA 主控台 |
使用本地賽門鐵克端點保護伺服器主控台 |
不能下載伺服器憑證 (僅 12.x) |
SEPM 伺服器管理員自行複製分發伺服器憑證 |
線上說明文檔均不可用 |
在本地主控台中,使用上下文相關的?明,或者訪問賽門鐵克技術支援文檔通過 Symantec.com |
8443
(命名的伺服器埠) |
不能使用遠端 JAVA 或 web 主控台 |
使用本地賽門鐵克端點保護伺服器主控台 |
無法複寫 |
在每個SEPM站台本地端更改政策 |
密碼重設 URL 將無法工作 (只有 12.x) |
具有更高的許可權 (系統 Administrator\Administrator) 的管理員可以登錄到本地主控台和更改所需的任何其他管理員的密碼。
系統管理員(完全網站控制): 為所有管理員可以更改整個企業。
管理員(域控制): 可以更改為其他域管理員和有限同一域中的管理員。 |
無法使用賽門鐵克保護中心 v1.0 |
無 |
NAC Enforcer通信將無法作用 |
無 |
|
|
常問的問題: |
Q: 此漏洞影響賽門鐵克端點保護伺服器的哪個版本? |
A: 此漏洞會影響以下版本:
• 賽門鐵克端點保護伺服器 11.0 RTM 到 11.0 RU7 MP4
• 賽門鐵克端點保護伺服器 12.0.x
• 賽門鐵克端點保護伺服器 12.1 RTM 到 12.1 RU4
|
Q: 哪個版本的賽門鐵克端點保護伺服器解決此漏洞? |
A: 賽門鐵克發佈了以下的產品更新,以解決該漏洞:
• 賽門鐵克端點保護11.0 RU7 MP4a (11.0.7405.1424)
• 賽門鐵克端點保護 12.1 RU4a (12.1.4023.4080)
|
Q: 哪裡可以下載更新? |
A: 您可以從Symantec
檔連接下載賽門鐵克端點保護伺服器更新。
|
Q: SEPM 12.1 RU4a 或 SEPM 11 RU7 MP4a 可直接更新於當前已安裝的版本上嗎? |
A: 是。SEPM 11 RU7 MP4a 和 SEPM 12.1 RU4a 可以直接更新於任何之前的版本的 SEPM 11
或 12.1,包括 SEPM 11 RU7 MP4a。
|
Q: 我是否需要更新到賽門鐵克端點保護用戶端嗎? |
A: 不需要 ,只有賽門鐵克端點保護伺服器需要更新。
|
|
總結一段話說明 by Savetime
: |
- 此漏洞不影響SEP用戶端,且尚無實際被攻擊實例。
- SEPM 若無法馬上升級暫時保護方法
i. 封鎖any 到 SEPM主機 port8443,9090
ii. 影響->無法使用SEPM 遠端管理主控台&WEB主控台,複寫失效,NAC Enforcer通訊失效
|
|
|
|
|