S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 juin 2007
N° CERTA-2007-AVI-282
Affaire suivie par: CERT-FR
le 28 juin 2007

Avis du CERT-FR

Objet: Vulnérabilités dans des produits Check Point

Gestion du document

Référence CERTA-2007-AVI-282
Titre Vulnérabilités dans des produits Check Point
Date de la première version 28 juin 2007
Date de la dernière version 28 juin 2007
Source(s) Avis de sécurité de Calyptix CX-2007-04 du 26 juin 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • Check Point SafeOffice Appliances 7.x ;
  • Check Point VPN-1 UTM Edge ;
  • Check Point ZoneAlarm Z100G 7.x.

Les versions du logiciel antérieures à 7.0.45 seraient affectées.

Description

Une vulnérabilité de type injection de code indirecte serait possible : une personne malveillante pourrait exécuter du code arbitraire sur le système par le biais d'une page Web spécialement construite, et à la condition que l'utilisateur légitime soit connecté à la fois sur cette page et sur l'interface du système.

Une seconde vulnérabilité permettrait à tout utilisateur connecté au système de modifier le mot de passe de l'administrateur, sans connaître celui existant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 juin 2007
    version initiale.