S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 octobre 2007
N° CERTA-2007-AVI-437
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans BrightStor ARCserve Backup

Gestion du document

Référence CERTA-2007-AVI-437
Titre Multiples vulnérabilités dans BrightStor ARCserve Backup
Date de la première version12 octobre 2007
Date de la dernière version12 octobre 2007
Source(s) Bulletin de sécurité Computer Associates du 11 octobre 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • BrightStor ARCserve Backup r11 pour Windows ;
  • BrightStor ARCserve Backup r11.1 ;
  • BrightStor ARCserve Backup r11.5 ;
  • BrightStor ARCserve Backup v9.01 ;
  • BrightStor Enterprise Backup r10.5 ;
  • CA Business Protection Suite for Microsoft Small Business Server Premium Edition r2 ;
  • CA Business Protection Suite for Microsoft Small Business Server Standard Edition r2 ;
  • CA Business Protection Suite r2 ;
  • CA Server Protection Suite r2 ;

Résumé

Plusieurs vulnérabilités dans BrightStor ARCserve Backup permettent, à distance, d'exécuter du code arbitraire, de réaliser un déni de service ou de contourner la politique de sécurité.

Description

Plusieurs failles ont été découvertes dans BrightStor ARCserve Backup :

  • des vulnérabilités, de type débordement de mémoire, permettent d'exécuter du code arbitraire à distance (CVE-2007-5325, CVE-2007-5326 et CVE-2007-5327) ;
  • un utilisateur peut accéder à des fonctionnalités nécessitant théoriquement des privilèges élevés (CVE-2007-5328) ;
  • plusieurs problèmes dans la gestion des procédures RPC par différents services permettent de réaliser un déni de service. La possibilité d'exécuter du code arbitraire n'est pas exclue (CVE-2007-5329, CVE-2007-5330, CVE-2007-5331 et CVE-2007-5332).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 octobre 2007
    version initiale.