{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"NetBackup Entreprise Server/NetBackup Server ; client, serveur, et option Storage Migrator pour Unix : versions 6.0 ant\u00e9rieures \u00e0 6.0_MP4 ;","product":{"name":"N/A","vendor":{"name":"Symantec","scada":false}}},{"description":"NetBackup Entreprise Server/NetBackup Server ; client, serveur, et option Storage Migrator pour Unix : versions 5.1 ant\u00e9rieures \u00e0 5.1_MP6 ;","product":{"name":"N/A","vendor":{"name":"Symantec","scada":false}}},{"description":"NetBackup Entreprise Server/NetBackup Server ; client, serveur, et option Storage Migrator pour Unix : versions 5.0 ant\u00e9rieures \u00e0 5.0_MP7.","product":{"name":"N/A","vendor":{"name":"Symantec","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nNetBackup est un produit destin\u00e9 \u00e0 r\u00e9aliser des sauvegardes et des\nrestaurations.\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es. Elles affectent le master,\nles clients et les serveurs du logiciel NetBackup. Un individu\nmalintentionn\u00e9 avec un acc\u00e8s \u00e0 une machine disposant de la fonctionalit\u00e9\nNetBackup pourrait ex\u00e9cuter du code arbitraire pouvant r\u00e9sulter en une\n\u00e9l\u00e9vation de privil\u00e8ge.\n\nUne premi\u00e8re vuln\u00e9rabilit\u00e9 due \u00e0 un d\u00e9bordement de m\u00e9moire peut \u00eatre\nexploit\u00e9e sur le r\u00e9seau par un individu malintention\u00e9 au moyen d'un\npaquet sp\u00e9cialement con\u00e7u.\n\nUne deuxi\u00e8me vuln\u00e9rabilit\u00e9 affecte le daemon bpcd qui traite l'ex\u00e9cution\ndes commandes syst\u00e8me. Le contr\u00f4le des commandes n'est pas fait\ncorrectement, et un individu malintentionn\u00e9 peut ajouter des commandes\narbitraires \u00e0 des commandes valides.\n\n## Contournement provisoire\n\nSymantec recommande de ne jamais \u00eatre expos\u00e9 sur un r\u00e9seau externe. La\nconfiguration devrait toujours restreindre les acc\u00e8s \u00e0 des machines de\nconfiances. Symantec recommande de mettre en place la fonctionalit\u00e9 NBAC\net de configurer l'acc\u00e8s r\u00e9serv\u00e9 uniquement \u00e0 des machines de confiance.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2006-4902","url":"https://www.cve.org/CVERecord?id=CVE-2006-4902"},{"name":"CVE-2006-5822","url":"https://www.cve.org/CVERecord?id=CVE-2006-5822"},{"name":"CVE-2006-6222","url":"https://www.cve.org/CVERecord?id=CVE-2006-6222"}],"links":[{"title":"Avis de s\u00e9curit\u00e9 Symantec SYM06-024 :","url":"http://securityresponse.symantec.com/avcenter/security/Content/2006.12.13a.html"}],"reference":"CERTA-2006-AVI-555","revisions":[{"description":"version initiale.","revision_date":"2006-12-14T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":null,"title":"Vuln\u00e9rabilit\u00e9s de Symantec Veritas NetBackup","vendor_advisories":[{"published_at":null,"title":"Avis de s\u00e9curit\u00e9 : SYM06-024","url":null}]}