Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Symantec Veritas Storage Foundation 4.x ;
  • Symantec Veritas Storage Foundation 5.x ;
  • Symantec Veritas Storage Foundation Cluster File System 4.x ;
  • Symantec Veritas Storage Foundation for Database 4.x ;
  • Symantec Veritas Storage Foundation for Oracle Real Application Clusters 4.x ;
  • Symantec Veritas Volume Manager 3.x.

Résumé

Deux vulnérabilités découvertes dans les produits Symantec permettent à un utilisateur distant malintentionné de provoquer un déni de service, de contourner la politiquer de sécurité ou d'exécuter du code arbitraire.

Description

Une vulnérabilité dans le service Scheduler Service (VxSchedService.exe) peut être exploitée par un utilisateur malveillant pour contourner la politique de sécurité. Un individu peut exploiter cette vulnérabilité afin d'exécuter du code arbitraire à distance.

Une seconde vulnérabilité dans le service Veritas Volume Replicator permet à une personne malintentionnée de provoquer l'arrêt brutal du service à distance ou, dans certaines circonstances, de consommer toutes les ressources du système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation