S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 décembre 2007
N° CERTA-2007-AVI-526
Affaire suivie par: CERT-FR
le 06 décembre 2007

Avis du CERT-FR

Objet: Vulnérabilités dans Novell BorderManager

Gestion du document

Référence CERTA-2007-AVI-526
Titre Vulnérabilités dans Novell BorderManager
Date de la première version 06 décembre 2007
Date de la dernière version 06 décembre 2007
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

Novell BorderManager 3.X.

Résumé

Deux vulnérabilités découvertes dans Novell BorderManager permettent à un utilisateur distant malintentionné de contourner la politique de sécurité ou d'exécuter du code arbitraire à distance.

Description

L'une des vulnérabilités est causée par une erreur dans le traitement des requêtes UDP vers le service Client Trust Application. Cette vulnérabilité, de type débordement de mémoire, affecte le fichier clntrust.exe et peut être exploitée par une personne malveillante afin d'exécuter du code arbitraire à distance.

L'autre vulnérabilité est causée par une erreur dans le traitement du trafic HTTP encodé en unicode qui permet à une personne malintentionnée de contourner la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 décembre 2007
    version initiale.