Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
- Injection SQL
Systèmes affectés
CA Total Defense version r12.
Résumé
Des vulnérabilités dans CA Total Defense permettent l'exécution de code arbitraire à distance ainsi que des injections SQL.
Description
Plusieurs vulnérabilités ont été découvertes dans CA Total Defense :
- un mauvais filtrage des paramètres de certaines requêtes permet d'effectuer diverses injections SQL (CVE-2011-1653) ;
- les paramètres utilisés lors d'un dépôt de fichier ne sont pas correctement filtrés, ce qui peut mener à une exécution de code arbitraire à distance (CVE-2011-1654) ;
- certaines informations sensibles ne sont pas correctement protégées, ce qui permet la récupération d'identifiants de connexion (CVE-2011-1655).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité CA20110413-01 du 13 avril 2011 https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=CD065CEC-AFE2-4D9D-8E0B-BE7F6E345866
- Référence CVE CVE-2011-1653 https://www.cve.org/CVERecord?id=CVE-2011-1653
- Référence CVE CVE-2011-1654 https://www.cve.org/CVERecord?id=CVE-2011-1654
- Référence CVE CVE-2011-1655 https://www.cve.org/CVERecord?id=CVE-2011-1655
