Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Les versions de ESRI ArcSDE antérieures à 9.2 Service Pack 3.

Résumé

Une vulnérabilité a été identifiée dans ESRI ArcSDE. L'exploitation de cette dernière permettrait à une personne malveillante de perturber le service, donc d'empêcher les utilisateurs d'accéder au serveur, voire d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité a été identifiée dans ESRI ArcSDE (Advanced Spatial Data Server). Cette technologie est intégrée dans ArcGIS Server pour accéder aux bases de données géographiques multi-utilisateurs GIS (Geographical Information Systems.

La vulnérabilité est un débordement de tampon, exploitable à distance par des entrées particulières au format ASCII de l'utilisateur. Les conséquences d'une telle exploitation seraient la perturbation du service, voire l'exécution de code arbitraire à distance.

Par défaut, le serveur est en écoute sur le port 5151/TCP.

Solution

Se référer au bulletin de sécurité de l'éditeur ESRI Inc. pour l'obtention des correctifs (cf. section Documentation).

Documentation