SGDSN AVIS DU CERTA Gestion du document 1 Risque 2
Transcription
SGDSN AVIS DU CERTA Gestion du document 1 Risque 2
PREMIER MINISTRE S.G.D.S.N Paris, le 14 novembre 2003 No CERTA-2003-AVI-194 Agence nationale de la sécurité des systèmes d’information CERTA Affaire suivie par : CERTA AVIS DU CERTA Objet : Vulnérabilité dans pcAnywhere de Symantec Conditions d’utilisation de ce document : Dernière version de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-194 Gestion du document Référence Titre Date de la première version Date de la dernière version Source(s) Pièce(s) jointe(s) CERTA-2003-AVI-194 Vulnérabilité dans pcAnywhere de Symantec 14 novembre 2003 – Advisory Symantec Aucune TAB . 1 – gestion du document Une gestion de version détaillée se trouve à la fin de ce document. 1 Risque Elévation de privilèges. 2 Systèmes affectés – Symantec pcAnywhere version 11 ; – Symantec pcAnywhere version 10.x. 3 Résumé Un utilisateur mal intentionné peut augmenter ses privilèges sur une machine disposant de pcAnywhere. 4 Description Cette vulnérabilité ne peut être exploitée que si pcAnywhere fonctionne en mode service. Un utilisateur non privilégié peut, par le biais de l’interface d’aide de pcAnywhere, augmenter ses privilèges sur la machine cible voire ajouter des comptes dans le groupe administrateur. Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI – CERTA 51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr 75700 Paris 07 SP Fax: 01 71 75 84 70 Mél : [email protected] 5 Solution Symantec recommande d’effectuer une mise à jour par LiveUpdate afin de corriger cette vulnérabilité. 6 Documentation – Advisory Symantec : http://securityresponse.symantec.com – Advisory Secure Network Operations : http://www.secnetops.biz/research/SRT2003-11-13-0218.txt – Référence CVE CAN-2003-0936 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0936 Gestion détaillée du document 14 novembre 2003 version initiale. 2