Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

Symantec Reporting Server versions 1.0.197.0 et antérieures.

Résumé

Plusieurs vulnérabilités dans Symantec Reporting Server permettent d'avoir accès à la base de données de ce produit et, dans un cas très particulier, d'exécuter du code arbitraire à distance.

Description

Trois vulnérabilités ont été découvertes dans Symantec Reporting Server.

La première de ces vulnérabilités concerne une application Web optionnelle de la console de Symantec System Center. Un échec lors d'une tentative de connexion à Reporting Server peut entraîner l'affichage du condensé du mot de passe de l'administrateur. Ce condensé peut être rejoué par un utilisateur malintentionné pour obtenir un accès à la base de données (référence CVE-2007-3022).

Une deuxième vulnérabilité permet de contourner le mécanisme d'authentification à la base de données de Symantec Client Security Reporting Server (référence CVE-2007-3022).

La troisième vulnérabilité est présente lors de la création d'un fichier par Reporting Server. Ce fichier peut être manipulé par un utilisateur malintentionné distant afin d'exécuter du code arbitraire à distance (référence CVE-2007-3021).

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation