Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- Les versions de ESRI ArcSDE antérieures à 9.2 Service Pack 3.
Résumé
Une vulnérabilité a été identifiée dans ESRI ArcSDE. L'exploitation de cette dernière permettrait à une personne malveillante de perturber le service, donc d'empêcher les utilisateurs d'accéder au serveur, voire d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité a été identifiée dans ESRI ArcSDE (Advanced Spatial Data Server). Cette technologie est intégrée dans ArcGIS Server pour accéder aux bases de données géographiques multi-utilisateurs GIS (Geographical Information Systems.
La vulnérabilité est un débordement de tampon, exploitable à distance par des entrées particulières au format ASCII de l'utilisateur. Les conséquences d'une telle exploitation seraient la perturbation du service, voire l'exécution de code arbitraire à distance.
Par défaut, le serveur est en écoute sur le port 5151/TCP.
Solution
Se référer au bulletin de sécurité de l'éditeur ESRI Inc. pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité iDefense du 15 août 2007 :
http://labs.idefense.com/intelligence/vulnerabilities/display?id=577
- Référence CVE CVE-2007-4278 :
https://www.cve.org/CVERecord?id=CVE-2007-4278
- Page officielle du produit ESRI ArcSDE :
http://www.esri.com/software/arcgis/arcsde/index.html
- Détails des correctifs effectués pour ESRI ArcSDE 9.2 Service Pack 3 :
http://download.esri.com/support/downloads/other_/ArcSDE-92sp3-issues.htm
