HSC : Compromission distante du Manager de Symantec Backup Exec System Recovery
février 2008 par HSC
Date : 06-02-2008
Criticité HSC : 3/5 - moyenne
Avis public : Oui
Exploitation : Disponible mais non publique
Résumé : Une vulnerabilité découverte dans le Manager web du serveur de "Symantec Backup Exec System Recovery" permet l’exécution de code à distance.
Source : TippingPoint
Objet : Symantec Backup Exec
Description :
La classe "FileUpload" sur le serveur Tomcat utilisé dans l’outil
LiveState contient une erreur permettant d’ajouter un fichier arbitraire
lors d’une requête HTTP POST. Cette inclusion de fichier permet à un
attaquant ayant accès au serveur web d’exécuter du code arbitraire avec
les droits SYSTEM sur la machine hébergeant le serveur Symantec.
MITRE a assigné le numéro CVE-2008-0457 à cette vulnérabilité.
Symantec lui a attribué l’avis SYM08-001.