Avis du CERT-FR

Objet: Vulnérabilité de Veritas Storage

Gestion du document

Référence	CERTA-2005-AVI-354
Titre	Vulnérabilité de Veritas Storage
Date de la première version	20 septembre 2005
Date de la dernière version	20 septembre 2005
Source(s)	Bulletin de sécurité Veritas 277566 et 277567 du 19 septembre 2005
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

VERITAS Storage Exec 5.X ;
VERITAS StorageCentral 5.X.

Résumé

Une vulnérabilité présente dans les produits VERITAS Storage permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire.

Description

Une erreur dans la façon dont VERITAS Storage Exec et VERITAS StorageCenter utilisent le service DCOM (Distributed Component Object Model) de Microsoft Windows permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire sur la machine vulnérable par le biais d'un site web malicieusement construit.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour appliquer le correctif approprié (cf. Documentation).

Documentation

Site de VERITAS :
```
http://www.veritas.com
```
Bulletin de sécurité de VERITAS Storage Exec :
```
http://support.veritas.com/docs/277566
```
Bulletin de sécurité de VERITAS StorageCenter :
```
http://support.veritas.com/docs/277567
```

Gestion détaillée du document

le 20 septembre 2005: version initiale.