S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 avril 2008
N° CERTA-2008-AVI-185
Affaire suivie par: CERT-FR
le 08 avril 2008

Avis du CERT-FR

Objet: Vulnérabilités dans CA ARCserve Backup

Gestion du document

Référence CERTA-2008-AVI-185
Titre Vulnérabilités dans CA ARCserve Backup
Date de la première version 08 avril 2008
Date de la dernière version 08 avril 2008
Source(s) Bulletin de sécurité Computer Associates du 03 avril 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • CA ARCserve Backup for Laptops and Desktops r11.5 ;
  • CA ARCserve Backup for Laptops and Desktops r11.1 SP2 ;
  • CA ARCserve Backup for Laptops and Desktops r11.1 SP1 ;
  • CA ARCserve Backup for Laptops and Desktops r11.1 ;
  • CA ARCserve Backup for Laptops and Desktops r11.0 ;
  • CA Desktop Management Suite 11.2 English ;
  • CA Desktop Management Suite 11.2 localized ;
  • CA Desktop Management Suite 11.1.

Résumé

Deux vulnérabilités dans CA ARCserve Backup for Laptops and Desktops Server permettent l'exécution de code arbitraire à distance.

Description

Deux vulnérabilités ont été découvertes dans CA ARCserve Backup for Laptops and Desktops Server :

  • la première est liée à un filtrage insuffisant d'arguments par le service LGServer (CVE-2008-1328) ;
  • la seconde est liée à une vérification insuffisante lors du téléchargement de fichiers (upload) par le service NetBackup (CVE-2008-1329).

L'exploitation de ces vulnérabilités permet l'exécution de code arbitraire à distance. Seul le serveur est concerné.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 avril 2008
    version initiale.