Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- CA ARCserve Backup for Laptops and Desktops r11.0 ;
- CA ARCserve Backup for Laptops and Desktops r11.1 ;
- CA ARCserve Backup for Laptops and Desktops r11.1 SP1 ;
- CA ARCserve Backup for Laptops and Desktops r11.1 SP2 ;
- CA ARCserve Backup for Laptops and Desktops r11.5 ;
- CA ARCserve Backup for Laptops and Desktops r4.0 ;
- CA Desktop Management Suite 11.0 ;
- CA Desktop Management Suite 11.1 ;
- CA Desktop Management Suite 11.2 ;
- CA Protection Suite r2.
Résumé
De multiples vulnérabilités dans les produits ARCserve de Computer Associate permettent à un utilisateur distant d'exécuter du code arbitraire.
Description
Plusieurs vulnérabilités sont présentent dans les produits ARCserve Backup for Laptops and Desktops de Computer Associates. Ces vulnérabilités sont toutes relatives à un manque de contrôle dans les éléments suivant du logiciel :
- le service LGServer ;
- le service d'authentification de ARCserve Backup ;
- le service d'autentification rxLogin ;
- le service NetBackup lors d'un téléchargement de fichier.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Computer Associates : http://supportconnectw.ca.com/public/sams/lifeguard/infodocs/caarcservebld-securitynotice.asp
- Bulletin de sécurité iDefense du 21 septembre 2007 : http://www.idefense.com/application/poi/display?id=599
- Bulletin de sécurité iDefense du 21 septembre 2007 : http://www.idefense.com/application/poi/display?id=598
- Référence CVE CVE-2007-3216 https://www.cve.org/CVERecord?id=CVE-2007-3216
- Référence CVE CVE-2007-5003 https://www.cve.org/CVERecord?id=CVE-2007-5003
- Référence CVE CVE-2007-5004 https://www.cve.org/CVERecord?id=CVE-2007-5004
- Référence CVE CVE-2007-5005 https://www.cve.org/CVERecord?id=CVE-2007-5005
- Référence CVE CVE-2007-5006 https://www.cve.org/CVERecord?id=CVE-2007-5006
