有关Symantec产品的安全公告 - Symantec Endpoint Protection多个问题

显示全部楼层 · 发表于 2017-11-7 13:00:40

本帖最后由 nonote 于 2017-11-7 13:01 编辑

概述
赛门铁克发布了一组更新，以解决Symantec Endpoint Protection（SEP）产品中的三个问题。

最严重的问题：高
问题数量： 3

<返回页首

问题
此更新适用于以下问题：
标题
CVE
严重性
SEP权限升级
CVE-2017-13681
高
SEP任意文件删除
CVE-2017-13680
中
SEP篡改保护旁路
CVE-2017-6331
低

<返回页首

受影响的产品
赛门铁克已经验证了这些问题，并在下面概述的SEP产品更新中解决了这些问

企业
以下Symantec企业产品受到影响。
产品
解
SEP 12.1 RU6 MP9之前的Symantec Endpoint Protection for CVE-2017-13681
升级到Symantec Endpoint Protection SEP 12.1 RU6 MP9
SEP 12.1 RU6 MP9和SEP 14 RU1之前的Symantec Endpoint Protection for CVE-2017-13680
升级到Symantec Endpoint Protection SEP 12.1 RU6 MP9或SEP 14 RU1
Symantec Endpoint Protection 12.1.X和SEP 14 RU1之前（对于CVE-2017-6331）
升级到Symantec Endpoint Protection SEP 14 RU1

<返回页首

问题详情

Symantec Endpoint Protection特权升级
CVE-2017-13681
出价： 101504
严重性：高（CVSSv3：8.8）（AV：L / AC：L / PR：L / UI：N / S：C / C：H / I：H / A：H）
影响：特权升级
开发：没有
修补日期： 2017年10月20日

Symantec Endpoint Protection Windows端点可能容易受到特权升级漏洞的影响，这是一种允许用户获得通常在较低访问级别受保护的资源的提升访问权限的问题。在这个问题的情况下，利用攻击的能力受限于需要对本地文件系统执行多个文件和目录写入，因此在标准的逐行攻击中是不可行的。

Symantec Endpoint Protection任意文件删除
CVE-2017-13680
出价： 101503
严重性：中等（CVSSv3：6.5）（AV：L / AC：L / PR：L / UI：N / S：C / C：N / I：N / A：H）
影响：任意文件删除
开发：没有
修补日期： 2017年10月20日

Symantec Endpoint Protection Windows端点可能遇到这样的情况：攻击者可以使用产品的UI在驻留文件系统上执行未经授权的文件删除。

Symantec Endpoint Protection篡改保护绕过
CVE-2017-6331
出价： 101502
严重性：低（CVSSv3：2.8）（AV：L / AC：L / PR：L / UI：R / S：U / C：N / I：L / A：N）
影响：防篡改绕过
开发：没有
修补日期： 2017年10月20日

Symantec Endpoint Protection Windows端点可能会遇到防篡改绕过问题，这是一种绕过在服务器和客户端上运行的应用程序的实时保护的攻击类型。防篡改保护赛门铁克进程和内部对象免受这些非赛门铁克进程的攻击，如蠕虫，特洛伊木马，病毒和安全风险。请注意，在这种情况下，防篡改旁路仅允许在UI的一个元素中更改少量文本。

<返回页首

减轻
上面列出的这些问题已由产品团队工程师验证。已经发布了一套Symantec Endpoint Protection更新，SEP 12.1 RU6 MP9和SEP 14 RU1，解决了上述问题。请确保您相应地应用必要的修补程序和升级。Symantec Endpoint Protection的最新版本可通过正常支持渠道提供给客户。目前，赛门铁克没有意识到这些问题会对客户造成任何影响或不利影响。
注1：对于运行SEP 14，SEP 14 MP1或SEP 14 MP2的客户，只有上述咨询细节中阐述的低和中等严重性问题影响更新的SEP 14产品线。高严重性问题不会影响SEP 14的任何实例。
注2：上述漏洞只适用于SEP客户端。SEPM经理不受影响。

<返回页首

最佳实践
赛门铁克建议采取以下措施来降低攻击风险：
限制对授权特权用户的管理或管理系统的访问。
只限制对受信任/授权系统的远程访问。
在可能的情况下，根据最小特权原则运行，以限制潜在利用的影响。
使用供应商补丁保持所有操作系统和应用程序最新
遵循多层次的安全方法。至少应运行防火墙和反恶意软件应用程序，以提供对入站和出站威胁的多重检测和保护。
部署网络和基于主机的入侵检测系统，以监视网络流量是否存在异常或可疑活动的迹象。这可能有助于检测与利用潜在漏洞相关的攻击或恶意活动。

链接：https://www.symantec.com/securit ... mp;suid=20171106_00

显示全部楼层 · 发表于 2017-11-7 14:41:39

看不懂，期待大佬解释

显示全部楼层 · 发表于 2017-11-7 15:15:51

反正用
SEP 12.1 RU6 MP9和SEP 14 RU1 就行 ?

显示全部楼层 · 发表于 2017-11-7 17:27:06

billbillbi 发表于 2017-11-7 15:15
反正用
SEP 12.1 RU6 MP9和SEP 14 RU1 就行 ?

是的

显示全部楼层 · 发表于 2017-11-8 10:07:53

SEP14能完美支持1709了吗

显示全部楼层 · 发表于 2017-11-8 11:01:20

谢谢分享！！！1

显示全部楼层 · 发表于 2017-11-8 12:13:18

星风烈日发表于 2017-11-8 10:07
SEP14能完美支持1709了吗

14.0.1可以完美支持

[资讯] 有关Symantec产品的安全公告 - Symantec Endpoint Protection多个问题