S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 18 octobre 2010
N° CERTA-2010-AVI-503
Affaire suivie par: CERT-FR
le 18 octobre 2010

Avis du CERT-FR

Objet: Vulnérabilités dans SAP Crystal Reports

Gestion du document

Référence CERTA-2010-AVI-503
Titre Vulnérabilités dans SAP Crystal Reports
Date de la première version 18 octobre 2010
Date de la dernière version 18 octobre 2010
Source(s) Bulletin de sécurité SAP 1509604
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

SAP Crystal Reports.

Résumé

Deux vulnérabilités dans SAP Crystal Reports permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité existe dans CMS.exe et dans JobServer.exe qui écoutent sur des ports TCP supérieurs à 1024. Elle permet à un utilisateur malveillant d'exécuter du code arbitraire à distance avec les droits SYSTEM par le biais d'une requête spécialement conçue.

Solution

Se référer au bulletin de sécurité non public de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 18 octobre 2010
    version initiale.