Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • Computer Associates eTrust Audit version 1.
  • Computer Associates eTrust Audit version r8 ;
  • Computer Associates eTrust Security Command Center version 1.0.
  • Computer Associates eTrust Security Command Center version r8 ;
  • Computer Associates eTrust Security Command Center version r8 SP1 CR1 ;
  • Computer Associates eTrust Security Command Center version r8 SP1 CR2 ;

Résumé

Plusieurs vulnérabilités dans des composants de Computer Associates permettent à des agresseurs de contourner des règles de sécurité et d'accéder à des données sensibles.

Description

La première vulnérabilité provient d'une erreur dans le script ePPIServlet qui gère incorrectement des paramètres mal formés. Cette vulnérabilité permet à des agresseurs d'obtenir des informations relatives à l'arborescence du système cible (chemin vers le répertoire d'installation).

La seconde vulnérabilité provient d'une erreur dans le script eSMPAuditServlet qui valide incorrectement des paramètres. Cette vulnérabilité permet à des agresseurs de lire ou de détruirte des fichiers arbitraires.

La troisième vulnérabilité se trouve au niveau du système de gestion des alertes qui est accessible sans authentification préalable. Cette vulnérabilité permet à des agresseurs d'envoyer de fausses alertes.

Contournement provisoire

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation