Avis du CERT-FR

Objet: Vulnérabilité dans divers produits Computer Associates

Gestion du document

Référence	CERTA-2006-AVI-266
Titre	Vulnérabilité dans divers produits Computer Associates
Date de la première version	29 juin 2006
Date de la dernière version	29 juin 2006
Source(s)	Bulletin de sécurité CA 32325 du 27 juin 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance ;
déni de service à distance.

Systèmes affectés

CA eTrust Antivirus 8.0 ;
CA eTrust PestPatrol 8.0 ;
CA Integrated Threat Management 8.0.

Description

Une vulnérabilité, découverte dans la gestion des chaînes de format du champ description d'une tâche (scan job), permet de réaliser un déni de service ou d'exécuter du code arbitraire à distance.

L'exploitation de cette vulnérabilité nécessite les droits de création d'une telle tâche.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité CA 34325 du 27 juin 2006 :

http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=34325

Description du build 432 du 26 juin 2006 :

http://supportconnectw.ca.com/public/eitm/infodocs/etrustitmvuln-contentupdate.asp

Référence CVE CVE-2006-3223 :

https://www.cve.org/CVERecord?id=CVE-2006-3223

Gestion détaillée du document

le 29 juin 2006: version initiale.