Risque
- Atteinte à la confidentialité des données
Systèmes affectés
- Veritas Backup Exec for NetWare Servers 9.0 ;
- Veritas Backup Exec for NetWare Servers 9.1 ;
- Veritas Backup Exec for Windows Servers 10.0 ;
- Veritas Backup Exec for Windows Servers 8.6 ;
- Veritas Backup Exec for Windows Servers 9.0 ;
- Veritas Backup Exec for Windows Servers 9.1 ;
- Veritas Backup Exec Remote Agent for NetWare Servers ;
- Veritas Backup Exec Remote Agent for Unix or Linux Servers ;
- Veritas Backup Exec Remote Agent for Windows Servers ;
- Veritas NetBackup for NetWare Media Server Option 4.5 ;
- Veritas NetBackup for NetWare Media Server Option 4.5 FP ;
- Veritas NetBackup for NetWare Media Server Option 5.0 ;
- Veritas NetBackup for NetWare Media Server Option 5.1.
Description
Une vulnérabilité, liée à l'utilisation d'un mot de passe statique lors du processus d'authentification entre les agents et les serveurs des produits Veritas, a été découverte. Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné afin d'obtenir un accès distant et de télécharger des fichiers vers ou depuis le serveur de sauvegarde.
Contournement provisoire
Filtrer le port 10000/tcp.
Solution
Appliquer le correctif de Symantec tel qu'indiqué dans le bulletin de sécurité SYM05-011 (voir Documentation).
Documentation
- Bulletin de sécurité de Symantec SYM05-011 du 12 août 2005 http://securityresponse.symantec.com/avcenter/security/Content/2005.08.12b.html
- Correctifs pour Veritas Backup Exec for NetWare Servers : http://support.veritas.com/docs/278431
- Correctifs pour Veritas Backup Exec for Windows Servers : http://support.veritas.com/docs/278434
- Correctifs pour Veritas NetBackup for NetWare Media Server Option : http://support.veritas.com/docs/278430
