S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 12 janvier 2007 No CERTA-2007-AVI-029

Affaire suivie par :

CERTA

Objet : Vulnérabilités dans Computer Associates BrightStor ARCserve Backup

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

• BrightStor ARCserve Backup r11.5 ;
• BrightStor ARCserve Backup r11.1 ;
• BrightStor ARCserve Backup pour Windows r11 ;
• BrightStor Enterprise Backup r10.5 ;
• BrightStor ARCserve Backup r9.01 ;
• CA Protection Suite r2 ;
• CA Business Protection Suite r2 ;
• CA Business Protection Suite for Microsoft Small Business Server Standard Edition r2 ;
• CA Business Protection Suite for Microsoft Small Business Server Premium Edition r2.

3 Résumé

Plusieurs vulnérabilités dans Computer Associates BrightStor ARCserve Backup permettent l'exécution de code arbitraire à distance.

4 Description

Plusieurs vulnérabilités ont été découvertes dans Computer Associates BrightStor ARCserve Backup. Celles-ci affectent les services Tape Engine, Mediasvr et la bibliothèque ASCORE.dll. Un utilisateur malintentionné peut exploiter ces vulnérabilités, par l'intermédiaire de paquets envoyés aux ports 6502/tcp, 6503/tcp ou 6504/tcp, afin d'exécuter du code arbitraire à distance.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité Computer Associates du 11 janvier 2007 :

  http://supportconnectw.ca.com/public/storage/infodocs/babimpsec-notice.asp
  

Gestion détaillée du document

12 janvier 2007

version initiale.