发布日期：2006-09-20
更新日期：2006-09-22

受影响系统：

Computer Associates eTrust Security Command Center r8 SP1 CR2
Computer Associates eTrust Security Command Center r8 SP1 CR1
Computer Associates eTrust Security Command Center r8
Computer Associates eTrust Security Command Center 1.0
Computer Associates eTrust Audit r8
Computer Associates eTrust Audit 1.5

描述：

---

BUGTRAQ  ID: 20139
CVE(CAN) ID: CVE-2006-4899,CVE-2006-4900,CVE-2006-4901

CA eTrust Security Command Center用于实时监控和管理企业安全的各个方面，eTrust Audit能收集有关企业级安全和系统的审计信息。

上述两个安全产品中存在多个安全漏洞，具体如下：

如果向ePPIServlet脚本发送了引号字符的话，eTrust Security Command Center就不会正确地处理PIProfile函数，导致泄漏Web主目录路径。

eTrust Security Command Center没有正确地验证getadhochtml函数所生成临时文件的位置，允许攻击者以服务帐户的权限读取或删除任意文件。

eTrust Security Command Center和Audit没有认证事件报警系统，允许攻击者发送误报警告。

<*来源：Patrick Webster （pwebster@ausgeo.com.au）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=115886958105629&w=2
        http://secunia.com/advisories/22073/
*>

建议：

---

厂商补丁：

Computer Associates
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://supportconnectw.ca.com/public/etrust/etrust_scc/infodocs/etrustscc_notice.asp

浏览次数：3063
严重程度：0（网友投票）