S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 mai 2007
N° CERTA-2007-AVI-195
Affaire suivie par: CERT-FR
le 03 mai 2007

Avis du CERT-FR

Objet: Vulnérabilité des produits Symantec

Gestion du document

Référence CERTA-2007-AVI-195
Titre Vulnérabilité des produits Symantec
Date de la première version 03 mai 2007
Date de la dernière version 03 mai 2007
Source(s) Bulletin de mise à jour de Symantec du 26 avril 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • déni de service ;
  • élévation de privilèges.

Systèmes affectés

  • Symantec Backup Exec System Recovery 6.x ;
  • Symantec LiveState Recovery 6.x ;
  • Symantec Norton Ghost 10.x ;
  • Symantec Norton Save & Recovery 11.x ;
  • Symantec Norton Save & Recovery pour Norton ;
  • Symantec Norton Save & Recovery Sony ;
  • System Works 2007 1.x ;
  • Euro 1.x.

Résumé

Deux vulnérabilités ont été découvertes dans les produits Symantec. L'exploitation de ces vulnérabilités conduit à un déni de service local ou à l'élévation de privilèges.

Description

Deux vulnérabilités ont été découvertes dans les produits Symantec :

  • un problème de divulgation d'identifiants de connexion est présent dans la méthode de sauvegarde par réseau ;
  • une erreur de type débordement de mémoire dans le Norton Ghost Service Manager peut être exploitée dans le but de causer un déni de service ou d'exécuter du code arbitraire menant à une élévation de privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 mai 2007
    version initiale.