S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 septembre 2005
N° CERTA-2005-AVI-354
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Veritas Storage

Gestion du document

Référence CERTA-2005-AVI-354
Titre Vulnérabilité de Veritas Storage
Date de la première version20 septembre 2005
Date de la dernière version20 septembre 2005
Source(s) Bulletin de sécurité Veritas 277566 et 277567 du 19 septembre 2005
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • VERITAS Storage Exec 5.X ;
  • VERITAS StorageCentral 5.X.

Résumé

Une vulnérabilité présente dans les produits VERITAS Storage permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire.

Description

Une erreur dans la façon dont VERITAS Storage Exec et VERITAS StorageCenter utilisent le service DCOM (Distributed Component Object Model) de Microsoft Windows permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur la machine vulnérable par le biais d'un site web malicieusement construit.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour appliquer le correctif approprié (cf. Documentation).

Documentation

Gestion détaillée du document

    le 20 septembre 2005
    version initiale.