Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • BrightStor ARCserve Backup r11 pour Windows ;
  • BrightStor ARCserve Backup r11.1 ;
  • BrightStor ARCserve Backup r11.5 ;
  • BrightStor ARCserve Backup v9.01 ;
  • BrightStor Enterprise Backup r10.5 ;
  • CA Business Protection Suite for Microsoft Small Business Server Premium Edition r2 ;
  • CA Business Protection Suite for Microsoft Small Business Server Standard Edition r2 ;
  • CA Business Protection Suite r2 ;
  • CA Server Protection Suite r2 ;

Résumé

Plusieurs vulnérabilités dans BrightStor ARCserve Backup permettent, à distance, d'exécuter du code arbitraire, de réaliser un déni de service ou de contourner la politique de sécurité.

Description

Plusieurs failles ont été découvertes dans BrightStor ARCserve Backup :

  • des vulnérabilités, de type débordement de mémoire, permettent d'exécuter du code arbitraire à distance (CVE-2007-5325, CVE-2007-5326 et CVE-2007-5327) ;
  • un utilisateur peut accéder à des fonctionnalités nécessitant théoriquement des privilèges élevés (CVE-2007-5328) ;
  • plusieurs problèmes dans la gestion des procédures RPC par différents services permettent de réaliser un déni de service. La possibilité d'exécuter du code arbitraire n'est pas exclue (CVE-2007-5329, CVE-2007-5330, CVE-2007-5331 et CVE-2007-5332).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation