Vigil@nce - Blue Coat ProxySG : élévation de privilèges
août 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un administrateur restreint peut exécuter n’importe quelle
commande administrative via HTTPS.
Gravité : 2/4
Date création : 18/08/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Blue Coat définit deux profils d’administrateur avec des droits
d’exécution différents.
Il y a trois méthodes pour saisir des commandes :
– la console de management
– la ligne de commandes
– URL via HTTS
Pour les commandes passées par la console et la ligne de commande,
les privilèges sont vérifiés et appliqués. Cependant, les
commandes envoyées via URL ne donnent pas lieu à une vérification
des privilèges.
Un administrateur restreint peut donc exécuter n’importe quelle
commande administrative via HTTPS.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Blue-Coat-ProxySG-elevation-de-privileges-9852