Risque
- Atteinte à la confidentialité des données ;
- élévation de privilèges ;
- injection de code indirecte à distance ;
- injection de requêtes illégitime par rebond.
Systèmes affectés
Symantec Messaging Gateway versions 9.5.x.
Résumé
Cinq vulnérabilités ont été corrigées dans la console de gestion de Symantec Messaging Gateway. Parmis celles-ci, une injection de code indirecte à distance (XSS), une injection de requêtes illégitime par rebond (CSRF), et un compte SSH avec un mot de passe par défaut permettant à un utilisateur illégitime d'avoir accès à la console, sont les plus critiques.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Symantec SYM12-013 du 27 août 2012 :
- Référence CVE CVE-2012-0307 :
https://www.cve.org/CVERecord?id=CVE-2012-0307
- Référence CVE CVE-2012-0308 :
https://www.cve.org/CVERecord?id=CVE-2012-0308
- Référence CVE CVE-2012-3579 :
https://www.cve.org/CVERecord?id=CVE-2012-3579
- Référence CVE CVE-2012-3580 :
https://www.cve.org/CVERecord?id=CVE-2012-3580
- Référence CVE CVE-2012-3581 :
https://www.cve.org/CVERecord?id=CVE-2012-3581