Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance
Systèmes affectés
Versions antérieures à Symantec Web Gateway 5.0.3.
Résumé
Quatre vulnérabilités ont été corrigées dans Symantec Web Gateway. La première est une injection de code indirecte à distance (XSS). La deuxième est une faille d'inclusion de fichier pouvant mener à une exécution de commandes arbitraires à distance. La troisième permet de télécharger ou d'effacer des fichiers du serveur. La dernière concerne un envoi de fichier sans être authentifié et peut mener à une exécution de commandes arbitraires avec des droits privilégiés.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Symantec SYM12-006 du 17 mai 2012 : http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120517_00
- Référence CVE CVE-2012-0296 https://www.cve.org/CVERecord?id=CVE-2012-0296
- Référence CVE CVE-2012-0297 https://www.cve.org/CVERecord?id=CVE-2012-0297
- Référence CVE CVE-2012-0298 https://www.cve.org/CVERecord?id=CVE-2012-0298
- Référence CVE CVE-2012-0299 https://www.cve.org/CVERecord?id=CVE-2012-0299