Multiples vulnérabilités dans Symantec Web Gateway

Gestion du document

Référence	CERTA-2012-AVI-288
Titre	Multiples vulnérabilités dans Symantec Web Gateway
Date de la première version	21 mai 2012
Date de la dernière version	21 mai 2012
Source(s)	Bulletin de sécurité Symantec du 17 mai 2012
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance ;
atteinte à l'intégrité des données ;
atteinte à la confidentialité des données ;
injection de code indirecte à distance.

Systèmes affectés

Versions antérieures à Symantec Web Gateway 5.0.3.

Résumé

Quatre vulnérabilités ont été corrigées dans Symantec Web Gateway. La première est une injection de code indirecte à distance (XSS). La deuxième est une faille d'inclusion de fichier pouvant mener à une exécution de commandes arbitraires à distance. La troisième permet de télécharger ou d'effacer des fichiers du serveur. La dernière concerne un envoi de fichier sans être authentifié et peut mener à une exécution de commandes arbitraires avec des droits privilégiés.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Symantec SYM12-006 du 17 mai 2012 :

http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120517_00

Référence CVE CVE-2012-0296 :

https://www.cve.org/CVERecord?id=CVE-2012-0296

Référence CVE CVE-2012-0297 :

https://www.cve.org/CVERecord?id=CVE-2012-0297

Référence CVE CVE-2012-0298 :

https://www.cve.org/CVERecord?id=CVE-2012-0298

Référence CVE CVE-2012-0299 :

https://www.cve.org/CVERecord?id=CVE-2012-0299

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Symantec Web Gateway