S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 15 avril 2011
No CERTA-2011-AVI-229 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans CA
Total Defense
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-229 |
| Titre |
Vulnérabilités
dans CA Total Defense |
| Date de la première
version |
15 avril 2011 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité CA20110413-01 du 13 avril
2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- injection SQL ;
- atteinte à la confidentialité des
données.
CA Total Defense version
r12.
Des vulnérabilités dans CA Total Defense permettent l'exécution
de code arbitraire à distance ainsi que des injections
SQL.
Plusieurs vulnérabilités ont été
découvertes dans CA Total
Defense :
- un mauvais filtrage des paramètres de certaines
requêtes permet d'effectuer diverses injections SQL
(CVE-2011-1653) ;
- les paramètres utilisés lors d'un
dépôt de fichier ne sont pas correctement
filtrés, ce qui peut mener à une
exécution de code arbitraire à distance
(CVE-2011-1654) ;
- certaines informations sensibles ne sont pas correctement
protégées, ce qui permet la
récupération d'identifiants de connexion
(CVE-2011-1655).
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 15 avril 2011
- version initiale.
CERTA
2012-01-04
|
)
