S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 juin 2004
N° CERTA-2004-AVI-188
Affaire suivie par: CERT-FR
le 09 juin 2004

Avis du CERT-FR

Objet: Vulnérabilité dans Crystal Reports Web Viewer

Gestion du document

Référence CERTA-2004-AVI-188
Titre Vulnérabilité dans Crystal Reports Web Viewer
Date de la première version 09 juin 2004
Date de la dernière version 09 juin 2004
Source(s) Bulletin de sécurité #MS04-017 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à la confidentialité des données ;
  • déni de service.

Systèmes affectés

  • Visual Studio .NET 2003 ;
  • Outlook 2003 avec Business Contact Manager ;
  • Microsoft Business Solutions CRM 1.2.

Résumé

Une vulnérabilité a été découverte dans Crystal Reports et Crytal Entreprise de Business Objects.

Description

Crystal Reports et Crytal Entreprise sont des outils de création et gestion de rapports s'intégrant avec certaines applications Microsoft. Une vulnérabilité présente dans ces deux outils permet à un utilisateur mal intentionné de lire ou détruire des fichiers présents sur le système lorsque IIS (Internet Information Server) est installé.

Solution

Appliquer les correctifs suivants la version affectée :

http://www.microsoft.com/technet/security/bulletin/MS04-017.mspx

Documentation

Référence CVE CAN-2004-0204 :

https://www.cve.org/CVERecord?id=CAN-2004-0204

Gestion détaillée du document

    le 09 juin 2004
    version initiale.