Date : 10-10-2008

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Indisponible

Résumé : De multiples vulnérabilités ont été découvertes dans CA ARCserve Backup permettant de réaliser des dénis de service ou d’exécuter du code arbitraire à distance sur le système sous-jacent.

Source : CA

Objet : CA BrightStor

Description :

Quatre vulnérabilités ont été découvertes dans les produits CA ARCserve
Backup pouvant permettre à un utilisateur malveillant distant de causer
un déni de service ou d’exécuter du code arbitraire sur le système
vulnérable. Ces vulnérabilités résultent d’un manque de validation de
certains paramètres dans différents services.

La première vulnérabilité [1] est une erreur de validation de certains
paramètres dans les appels RPC. En exploitant une faille de type
"directory traversal", un attaquant est en mesure d’exécuter des
commandes arbitraires.

La seconde vulnérabilité [2] est dûe à un manque de validation au niveau
du service d’enregistrement sur bande. Une requête malformée est en
mesure de créer un déni de service sur ce composant.

La troisième vulnérabilité [3] touche le service de base de données et
résulte une nouvelle fois d’insuffisances de validation de paramètres
permettant à un attaquant d’effectuer un déni de service sur le
composant.

Enfin, la dernière vulnérabilité [4] résulte d’un manque de validation
dans la vérification des accréditations pouvant résulter en un déni de
service sur plusieurs composants.

Références :

– https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=188143

– [1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4397

– [2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4398

– [3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4399

– [4] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4400