 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 02 novembre 2007
No CERTA-2007-AVI-472 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités de SonicWALL SSL VPN
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-472 |
| Titre |
Multiples
vulnérabilités de SonicWALL SSL
VPN |
| Date de la première
version |
02 novembre 2007 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité US-CERT VU#298521 du 01
novembre 2007 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- contournement de la politique de sécurité
;
- atteinte à l'intégrité des
données.
- SonicWALL SSL-VPN 200 versions antérieures
à la version 2.1 ;
- SonicWALL SSL-VPN 2000 versions antérieures
à la version 2.5 ;
- SonicWALL SSL-VPN 4000 versions antérieures
à la version 2.5.
Plusieurs vulnérabilités ont été
découvertes dans SonicWALL SSL-VPN. Ces
vulnérabilités peuvent être
exploitées afin de porter atteinte à
l'intégrité du système ou
d'exécuter du code arbitraire à distance.
Deux vulnérabilités ont été
découvertes dans SonicWALL SSL-VPN :
- Une erreur aux limites a été
découverte dans le contrôle ActiveX NetExtender NELaunchCtrl. Cette
vulnérabilité peut être exploitée
via un site malicieux, exécutant ainsi du code
arbitraire sur le poste de l'utilisateur.
- L'utilisation de la méthode FileDelete() dans le contrôle ActiveX
WebCacheCleaner peut être
exploitée afin d'effacer des fichiers
arbitraires.
Installer la version de firmware
2.1 pour les SonicWALL SSL-VPN 200 et la version 2.5 pour les
SonicWALL SSL-VPN 2000 et 4000 (cf. documentation pour
l'adresse de téléchargement).
- 02 novembre 2007
- version initiale.
CERTA
2012-01-04
|
|
)
