Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Ingres 2006 version 9.0.4 ;
- Ingres r3 ;
- Ingres 2.6 ;
- Ingres 2.5.
Les versions vulnérables d'Ingres sont intégrées dans les produits suivants :
- Advantage Data Transformer r2.2 ;
- AllFusion Enterprise Workbench r1.1, 1.1 SP1, r7, r7.1 ;
- AllFusion Harvest Change Manager r7, r7.1 ;
- BrightStor ARCserve Backup v9 (Linux seulement), r11.1, r11.5 (Unix, Linux et Mainframe Linux) ;
- BrightStor ARCserve Backup for Laptops and Desktops r11.5 ;
- BrightStor Enterprise Backup (Unix seulement) t10.5 ;
- BrightStor Storage Command Center r11.5 ;
- BrightStor Storage Resource Manager r11.5 ;
- CleverPath Aio Business Rules Expert r10.1 ;
- CleverPath Predictive Analysis Server r3 ;
- DocServer 1.1 ;
- eTrust Admin v8, v8.1, r8.1 SP1, r8.1 SP2 ;
- eTrust Audit r8 SP2 ;
- eTrust Directory r8.1 ;
- eTrust IAM Suite r8.0 ;
- eTrust IAM Toolkit r8.0, r8.1 ;
- eTrust Identity Manager r8.1 ;
- eTrust Network Forensics r8.1 ;
- eTrust Secure Content Manager r8 ;
- eTrust Single Sign-On r7, r8, r8.1 ;
- eTrust Web Access Control 1.0 ;
- Unicenter Advanced Systems Management r11 ;
- Unicenter Asset Intelligence r11 ;
- Unicenter Asset Portfolio Management r11 r2.1, r11.3 ;
- Unicenter CCS r11 ;
- Unicenter Database Command Center r11.1 ;
- Unicenter Desktop and Server Management r11 ;
- Unicenter Desktop Management Suite r11 ;
- Unicenter Enterprise Job Manager r1 SP3, r1 SP4 ;
- Unicenter Job Management Option r11 ;
- Unicenter Lightweight Portal 2 ;
- Unicenter Management Portal r3.1.1 ;
- Unicenter Network and Systems Management r3.0, r11 ;
- Unicenter Network and Systems Management - Tiered - Multi Platform r3.0 0305, r3.1 0403, r11.0 ;
- Unicenter Patch Management r11 ;
- Unicenter Remote Control 6, r11 ;
- Unicenter Service Accounting r11, r11.1 ;
- Unicenter Service Assure r2.2, r11, r11.1 ;
- Unicenter Service Catalog r11, r11.1 ;
- Unicenter Service Delivery r11.0, r11.1 ;
- Unicenter Service Intelligence r11 ;
- Unicenter Service Metric Analysis r3.0.2, r3.5, r11, r11.1 ;
- Unicenter ServicePlus Service Desk 5.5 SP3, 6.0, 6.0 SP1, r11, r11.1, r11.2 ;
- Unicenter Software Delivery r11 ;
- Unicenter TNG 2.4, 2.4.2, 2.4.2J ;
- Unicenter Workload Control Center r1 SP3, r1 SP4 ;
- Unicenter Web Services Distributed Management 3.11, 3.50 ;
- Wily SOA Manager 7.1.
Résumé
De multiples vulnérabilités affectant la base de données Ingres permettent l'exécution de code arbitraire à distance.
Description
Sept vulnérabilités affectant la base de données Ingres ont été rendues publiques. Plusieurs de ces vulnérabilités permettent l'exécution de code arbitraire à distance, sans authentification préalable. L'exploitation d'une de ces vulnérabilités se fait par l'intermédiaire de paquets malformés envoyés aux services iigcc (port 10916/tcp) et iigcd (port 10923/tcp).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité Computer Associates du 21 juin 2007 http://www.ca.com/securityadvisor/newsinfo/collateral.aspx?cid=145778
- Référence CVE CVE-2007-3334 https://www.cve.org/CVERecord?id=CVE-2007-3334
- Référence CVE CVE-2007-3336 https://www.cve.org/CVERecord?id=CVE-2007-3336
- Référence CVE CVE-2007-3337 https://www.cve.org/CVERecord?id=CVE-2007-3337
- Référence CVE CVE-2007-3338 https://www.cve.org/CVERecord?id=CVE-2007-3338