Risque
- Contournement de la politique de sécurité ;
- atteinte à l'intégrité des données ;
- atteinte à la confidentialité des données ;
- élévation de privilèges.
Systèmes affectés
- Novell ZENworks Patch Management 6.2 : ZPM Update Agent pour la version 6.2094 ou celles antérieures ;
- Novell ZENworks Patch Management 6.3 : ZPM Update Agent pour la version 6.3450 ou celles antérieures ;
- Novell ZENworks Patch Management 6.4 : ZPM Update Agent pour la version 6.4102 ou celles antérieures ;
- Novell Challenge Response Client (LCM) version 2.7.5 ainsi que celles antérieures. Cette version est fournie avec Novell Client 4.91 SP4 dans le produit NMAS (Novell Modular Authentication Services).
Résumé
Des vulnérabilités ont été identifiées dans des produits Novell. Elles permettraient à des utilisateux malveillants locaux d'élever leur privilège, d'accéder à des informations sensibles ou à modifier illégitimement des données.
Description
Des vulnérabilités ont été identifiées dans des produits Novell :
- deux vulnérabilités dans Novell ZENworks Patch Management permettent à un utilisateur malveillant local de modifier des fichiers arbitraires ou d'élever ses privilèges. Elles concernent le script logtrimmer et la fonction rebootTask.
- une vulnérabilité a été identifiée dans Novell Challenge Response Client. Elle permettrait à des utilisateurs locaux d'accéder à des informations sensibles.
Solution
Se référer aux bulletins de sécurité de Novell pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Référence CVE CVE-2008-0525 :
https://www.cve.org/CVERecord?id=CVE-2008-0525
- Document Novell de référence 3908994 publié le 05 février 2008 :
https://secure-support.novell.com/KanisaPlatform/Publishing/18/3908994_f.SAL_Public.html
- Document Novell de référence 3726376 publié le 04 février 2008 :
https://secure-support.novell.com/KanisaPlatform/Publishing/686/3726376_f.SAL_Public.html