Risques
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance
- Injection de requêtes illégitimes par rebond (CSRF)
- Élévation de privilèges
Systèmes affectés
Symantec Messaging Gateway versions 9.5.x.
Résumé
Cinq vulnérabilités ont été corrigées dans la console de gestion de Symantec Messaging Gateway. Parmis celles-ci, une injection de code indirecte à distance (XSS), une injection de requêtes illégitime par rebond (CSRF), et un compte SSH avec un mot de passe par défaut permettant à un utilisateur illégitime d'avoir accès à la console, sont les plus critiques.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Symantec SYM12-013 du 27 août 2012 http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120827_00
- Référence CVE CVE-2012-0307 https://www.cve.org/CVERecord?id=CVE-2012-0307
- Référence CVE CVE-2012-0308 https://www.cve.org/CVERecord?id=CVE-2012-0308
- Référence CVE CVE-2012-3579 https://www.cve.org/CVERecord?id=CVE-2012-3579
- Référence CVE CVE-2012-3580 https://www.cve.org/CVERecord?id=CVE-2012-3580
- Référence CVE CVE-2012-3581 https://www.cve.org/CVERecord?id=CVE-2012-3581
