SGDSN AVIS DU CERTA Gestion du document 1 Risque 2

PREMIER MINISTRE
S.G.D.S.N
Paris, le 14 novembre 2003
No CERTA-2003-AVI-194
Agence nationale de la sécurité
des systèmes d’information
CERTA
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilité dans pcAnywhere de Symantec
Conditions d’utilisation de ce document :
Dernière version de ce document :
http://www.certa.ssi.gouv.fr/certa/apropos.html
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-194
Gestion du document
Référence
Titre
Date de la première version
Date de la dernière version
Source(s)
Pièce(s) jointe(s)
CERTA-2003-AVI-194
Vulnérabilité dans pcAnywhere de Symantec
14 novembre 2003
–
Advisory Symantec
Aucune
TAB . 1 – gestion du document
Une gestion de version détaillée se trouve à la fin de ce document.
1
Risque
Elévation de privilèges.
2
Systèmes affectés
– Symantec pcAnywhere version 11 ;
– Symantec pcAnywhere version 10.x.
3
Résumé
Un utilisateur mal intentionné peut augmenter ses privilèges sur une machine disposant de pcAnywhere.
4
Description
Cette vulnérabilité ne peut être exploitée que si pcAnywhere fonctionne en mode service.
Un utilisateur non privilégié peut, par le biais de l’interface d’aide de pcAnywhere, augmenter ses privilèges
sur la machine cible voire ajouter des comptes dans le groupe administrateur.
Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI – CERTA
51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50
Web: http://www.certa.ssi.gouv.fr
75700 Paris 07 SP
Fax: 01 71 75 84 70
Mél : [email protected]
5
Solution
Symantec recommande d’effectuer une mise à jour par LiveUpdate afin de corriger cette vulnérabilité.
6
Documentation
– Advisory Symantec :
http://securityresponse.symantec.com
– Advisory Secure Network Operations :
http://www.secnetops.biz/research/SRT2003-11-13-0218.txt
– Référence CVE CAN-2003-0936 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0936
Gestion détaillée du document
14 novembre 2003 version initiale.
2