Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Élévation de privilèges
Systèmes affectés
- Novell Challenge Response Client (LCM) version 2.7.5 ainsi que celles antérieures. Cette version est fournie avec Novell Client 4.91 SP4 dans le produit NMAS (Novell Modular Authentication Services).
- Novell ZENworks Patch Management 6.2 : ZPM Update Agent pour la version 6.2094 ou celles antérieures ;
- Novell ZENworks Patch Management 6.3 : ZPM Update Agent pour la version 6.3450 ou celles antérieures ;
- Novell ZENworks Patch Management 6.4 : ZPM Update Agent pour la version 6.4102 ou celles antérieures ;
Résumé
Des vulnérabilités ont été identifiées dans des produits Novell. Elles permettraient à des utilisateux malveillants locaux d'élever leur privilège, d'accéder à des informations sensibles ou à modifier illégitimement des données.
Description
Des vulnérabilités ont été identifiées dans des produits Novell :
- deux vulnérabilités dans Novell ZENworks Patch Management permettent à un utilisateur malveillant local de modifier des fichiers arbitraires ou d'élever ses privilèges. Elles concernent le script logtrimmer et la fonction rebootTask.
- une vulnérabilité a été identifiée dans Novell Challenge Response Client. Elle permettrait à des utilisateurs locaux d'accéder à des informations sensibles.
Solution
Se référer aux bulletins de sécurité de Novell pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Document Novell de référence 3726376 publié le 04 février 2008 : https://secure-support.novell.com/KanisaPlatform/Publishing/686/3726376_f.SAL_Public.html
- Document Novell de référence 3908994 publié le 05 février 2008 : https://secure-support.novell.com/KanisaPlatform/Publishing/18/3908994_f.SAL_Public.html
- Référence CVE CVE-2008-0525 https://www.cve.org/CVERecord?id=CVE-2008-0525
