Risques

  • Accès non autorisé au système avec les privilèges de l'administrateur
  • Déni de service
  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Systèmes affectés

  • Backup Exec 10.0 for Windows Servers rev. 5484 ;
  • Backup Exec 10.0 for Windows Servers rev. 5520 ;
  • Backup Exec 9.0 for Windows Servers rev. 4367 ;
  • Backup Exec 9.0 for Windows Servers rev. 4454 ;
  • Backup Exec 9.0.4019 for NetWare Servers.
  • Backup Exec 9.0.4170 for NetWare Servers ;
  • Backup Exec 9.0.4172 for NetWare Servers ;
  • Backup Exec 9.0.4174 for NetWare Servers ;
  • Backup Exec 9.0.4202 for NetWare Servers ;
  • Backup Exec 9.1 for Windows Servers rev. 4691 ;
  • Backup Exec 9.1.1067.2 for NetWare Servers ;
  • Backup Exec 9.1.1067.3 for NetWare Servers ;
  • Backup Exec 9.1.1127.1 for NetWare Servers ;
  • Backup Exec 9.1.1151.1 for NetWare Servers ;
  • Backup Exec 9.1.1152 for NetWare Servers ;
  • Backup Exec 9.1.1152.4 for NetWare Servers ;
  • Backup Exec 9.1.1154 for NetWare Servers ;
  • Backup Exec 9.1.306 for NetWare Servers ;
  • Backup Exec 9.1.307 for NetWare Servers ;

Résumé

De multiples vulnérabilités affectant Veritas Backup Exec permettent l'exécution de code arbitraire à distance ou l'obtention d'un accès avec les privilèges de l'administrateur.

Description

Veritas Backup Exec est un logiciel de sauvegarde.

Plusieurs vulnérabilités affectent ce produit :

  • deux vulnérabilités de type débordement de mémoire dans Veritas Backup Exec Remote Agent permettent à un utilisateur mal intentionné de réaliser un déni de service par arrêt brutal du serveur ;
  • une vulnérabilité de type débordement de mémoire dans Veritas Backup Exec Remote Agent for Windows Servers (RAWS) permet l'exécution de code arbitraire à distance sur le serveur ;
  • une vulnérabilité dans la validation des accès distants permet l'obtention des privilèges de l'administrateur sur le registre du serveur ;
  • une vulnérabilité de type débordement de mémoire dans Backup Exec Web Administration Console (BEWAC) permet l'exécution de code arbitraire à distance sur le serveur ;
  • une vulnérabilité dans Admin Plus Pack Option permet à un utilisateur non autorisé d'obtenir un accès sur le serveur ;
  • une vulnérabilité dans Veritas Backup Exec Remote Agent permet à un utilisateur d'élever ses privilèges.

Solution

Appliquer les correctifs indiqués dans le document 277429 de Veritas :

http://seer.support.veritas.com/docs/277429.htm

Documentation