Date : 11-06-2008

Criticité HSC : 3/5 - moyenne

Avis public : Oui

Exploitation : Disponible mais non publique

Résumé : Deux vulnérabilités distantes ont été corrigées dans le logiciel
Alphastor de EMC.

Source : iDefense

Objet : Tous

Description :

Deux vulnérabilités distantes ont été corrigées dans le logiciel de
gestion de sauvegarde Alphastor de EMC.

Alphastor fonctionne en mode client-serveur. Chaque serveur possède
plusieurs processus ayant des rôles différents et écoutant sur des ports
TCP définis.

La première vulnérabilité touche le port de commande en ligne de l’agent
(TCP/41025). Celui est sujet à de nombreux dépassements de mémoire au
niveau de la pile. Cette vulnérabilité est référencée par l’identifiant
CVE-2008-2158.

La deuxième vulnérabilité touche le processus "Library Manager". Cet
élément, écoutant sur le port TCP/3500, est utilisé pour la gestion et
le remplacement des disques. Dans des conditions non détaillées ce
processus pourrait être amené à exécuter une commande arbitraire
spécifiée dans la requête. Cette vulnérabilité est référencée par
l’identifiant CVE-2008-2157.

L’exploitation de ces failles permet d’exécuter du code sur le serveur
sous l’identité SYSTEM. Il n’est pas nécessaire d’être authentifié pour
mener l’attaque.