Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Avis du CERTA : Multiples vulnérabilités dans BrightStor ARCserve Backup

octobre 2007 par CERTA

1 Risque

* Exécution de code arbitraire à distance ;
* déni de service à distance ;
* contournement de la politique de sécurité.

2 Systèmes affectés

* BrightStor ARCserve Backup r11.5 ;
* BrightStor ARCserve Backup r11.1 ;
* BrightStor ARCserve Backup r11 pour Windows ;
* BrightStor Enterprise Backup r10.5 ;
* BrightStor ARCserve Backup v9.01 ;
* CA Server Protection Suite r2 ;
* CA Business Protection Suite r2 ;
* CA Business Protection Suite for Microsoft Small Business Server Standard Edition r2 ;
* CA Business Protection Suite for Microsoft Small Business Server Premium Edition r2 ;

3 Résumé

Plusieurs vulnérabilités dans BrightStor ARCserve Backup permettent, à distance, d’exécuter du code arbitraire, de réaliser un déni de service ou de contourner la politique de sécurité.

4 Description

Plusieurs failles ont été découvertes dans BrightStor ARCserve Backup :

* des vulnérabilités, de type débordement de mémoire, permettent d’exécuter du code arbitraire à distance (CVE-2007-5325, CVE-2007-5326 et CVE-2007-5327) ;
* un utilisateur peut accéder à des fonctionnalités nécessitant théoriquement des privilèges élevés (CVE-2007-5328) ;
* plusieurs problèmes dans la gestion des procédures RPC par différents services permettent de réaliser un déni de service. La possibilité d’exécuter du code arbitraire n’est pas exclue (CVE-2007-5329, CVE-2007-5330, CVE-2007-5331 et CVE-2007-5332).

5 Solution

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

6 Documentation

* Bulletin de sécurité Computer Associates du 11 octobre 2007 :

http://supportconnectw.ca.com/public/storage/infodocs/basb-secnotice.asp

* Référence CVE CVE-2007-5325 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5325

* Référence CVE CVE-2007-5326 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5326

* Référence CVE CVE-2007-5327 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5327

* Référence CVE CVE-2007-5328 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5328

* Référence CVE CVE-2007-5329 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5329

* Référence CVE CVE-2007-5330 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5330

* Référence CVE CVE-2007-5331 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5331

* Référence CVE CVE-2007-5332 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5332




Voir les articles précédents

    

Voir les articles suivants