Vigil@nce : EMC NetWorker, élévation de privilèges via Client Push
avril 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut employer la fonctionnalité Client Push de
EMC NetWorker, afin d’élever ses privilèges.
– Gravité : 2/4
– Date création : 19/04/2011
PRODUITS CONCERNÉS
– EMC NetWorker
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité Client Push de EMC NetWorker permet de mettre à
jour le produit sur les ordinateurs du réseau.
Cependant, les permissions des fichiers/répertoires utilisés par
Client Push sont incorrectes. Les détails techniques ne sont pas
connus, mais il semblerait qu’un attaquant local puisse
créer/modifier un fichier qui soit ensuite exécuté avec les droits
de l’administrateur.
Un attaquant local peut donc employer la fonctionnalité Client
Push de EMC NetWorker, afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/EMC-NetWorker-elevation-de-privileges-via-Client-Push-10576