S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 24 avril 2006
No CERTA-2006-AVI-169 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Symantec Scan Engine
Tableau 1: Gestion du document
| Référence |
CERTA-2006-AVI-169 |
| Titre |
Vulnérabilités
dans Symantec Scan Engine |
| Date de la première
version |
24 avril 2006 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Symantec SYM06-008 du 21
avril 2006 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Accès non autorisé ;
- atteinte à la confidentialité des
données.
Symantec Scan Engine version
5.0.
Trois vulnérabilités ont été
découvertes dans Symantec Scan
Engine :
- Symantec Scan Engine
n'authentifie pas correctement les utilisateurs qui se
connectent par l'interface d'administration. Un utilisateur
mal intentionné peut obtenir les droits de
l'administrateur de Symantec Scan
Engine en utilisant l'interface d'administration
;
- Symantec Scan Engine utilise
une clé privée statique DSA pour ses
communications en SSL. Cette clé ne peut pas
être modifiée par les utilisateurs mais peut
être facilement exportée. Un utilisateur mal
intentionné peut récupérer cette
clé pour réaliser des attaques de type man-in-the-middle ;
- une vulnérabilité permet de
télécharger sans authentification
préalable les fichiers situés dans le
répertoire d'installation de Symantec Scan Engine.
Filtrer les ports 8004/tcp et 8005/tcp.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 24 avril 2006
- version initiale.
CERTA
2012-01-04
|
)
