Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
Cadic Intégrale versions 2007 (5.4.x), 2009 (5.5.x) et 2011.
Résumé
Trois vulnérabilités dans Cadic Intégrale permettent d'exécuter du code arbitraire à distance, de réaliser un déni de service ou de contourner le mécanisme d'authentification.
Description
Trois vulnérabilités ont été découvertes dans Cadic Intégrale :
- le serveur Apache installé est sensible au problème du traitement du paramètre range (CVE-2011-3192), ce qui permet de réaliser un déni de service à distance ;
- un composant fourni avec Cadic Intégrale permet le dépôt de fichiers. Il est ainsi possible de prendre le contrôle à distance du serveur ou d'exécuter du code arbitraire ;
- il est possible, dans une configuration très particulière, de contourner le mécanisme d'authentification.
Solution
Des correctifs sont disponibles auprès de l'éditeur ou via le site du club.
Documentation
- Site du Club Cadic : http://club.cadic.fr/
- Référence CVE CVE-2011-3192 https://www.cve.org/CVERecord?id=CVE-2011-3192
