当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Persistent Systems Client Automation命令注入远程代码执行漏洞

     发表日期:2015-03-13 16:55:45

Persistent Systems Client Automation命令注入远程代码执行漏洞
CVE-ID:CVE-2015-1497
发布日期:2015-02-10
更新日期:2015-02-28
受影响系统:
Persistent Systems Radia Client Automation 9.1
Persistent Systems Radia Client Automation 9.0
Persistent Systems Radia Client Automation 8.1
Persistent Systems Radia Client Automation 7.9
详细信息:

Radia Client Automation是终端用户设备生命周期管理工具,可以自动化常规客户端管理任务。

Persistent Systems Radia Client Automation (RCA) 7.9, 8.1, 9.0, 9.1版本中,radexecd.exe存在安全漏洞,远程攻击者通过向TCP端口3465发送构造的请求,利用此漏洞可执行任意命令。无需身份验证即可利用此漏洞。


来源:
Ben Turner
参考信息:
http://www.zerodayinitiative.com/advisories/ZDI-15-038/
解决办法:
厂商补丁:

Persistent Systems
------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.persistent.com/
https://radiasupport.accelerite.com/hc/en-us/articles/203659814-Accelerite-releases-solutions-and-best-practices-to-enhance-the-security-for-RBAC-and-Remote-Notify-features