CERTA-2003-AVI-133

Vulnerability from certfr_avis - Published: - Updated:

Des vulnérabilités permettent à un utilisateur mal intentionné distant d'exécuter du code sur une machine hébergeant un agent ou un serveur avec les privilèges élévés du niveau SYSTEM. De plus, l'ensemble des fichiers de l'hôte d'un agent en version 3.0 est accessible en lecture.

Description

«ePolicy Orchestrator» est un outil de gestion centralisée de la politique de sécurité antivirale. Il est composé de consoles d'administration, de serveurs et enfin d'agents sur chaque poste où la politique antivirus doit être appliquée et surveillée.

Trois vulnérabilités permettant l'exécution de code arbitraire avec les privilèges SYSTEM ont été découvertes :

  • sur les serveurs en version 2.x et 3.0 il est possible d'obtenir, à l'aide d'une requête HTTP bien formée, la configuration du serveur. On y trouve entre autres le compte utilisé et son mot de passe chiffré. L'algorithme de chiffrement et la clef utilisée pouvant être retrouvés, il est possible de faire exécuter sur l'hôte des commandes arbitraires en s'authentifiant sous ce compte.
  • Une mauvaise gestion des chaînes de format dans les serveurs en version 2.x permet d'exécuter du code avec les privilèges du service à l'aide d'une requête HTTP POST.
  • Inversement une commande POST habilement constituée et envoyée à un client provoque un débordement de mémoire et permet l'exécution de code.

Enfin une requête HTTP bien construite envoyée à un agent permet de lire n'importe quel fichier du système hôte.

Solution

Contacter votre revendeur NAI pour obtenir le correctif :

http://www.networkassociates.com/us/downloads/updates/hotfixes.asp

Tout système Microsoft Windows dont les services «NAI ePolicy Orchestrator» en version serveur ou agent sont démarrés.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me Microsoft Windows dont les services \u00abNAI ePolicy  Orchestrator\u00bb en version serveur ou agent sont d\u00e9marr\u00e9s.\u003c/P\u003e",
  "content": "## Description\n\n\u00abePolicy Orchestrator\u00bb est un outil de gestion centralis\u00e9e de la\npolitique de s\u00e9curit\u00e9 antivirale. Il est compos\u00e9 de consoles\nd\u0027administration, de serveurs et enfin d\u0027agents sur chaque poste o\u00f9 la\npolitique antivirus doit \u00eatre appliqu\u00e9e et surveill\u00e9e.\n\nTrois vuln\u00e9rabilit\u00e9s permettant l\u0027ex\u00e9cution de code arbitraire avec les\nprivil\u00e8ges SYSTEM ont \u00e9t\u00e9 d\u00e9couvertes :\n\n-   sur les serveurs en version 2.x et 3.0 il est possible d\u0027obtenir, \u00e0\n    l\u0027aide d\u0027une requ\u00eate HTTP bien form\u00e9e, la configuration du serveur.\n    On y trouve entre autres le compte utilis\u00e9 et son mot de passe\n    chiffr\u00e9. L\u0027algorithme de chiffrement et la clef utilis\u00e9e pouvant\n    \u00eatre retrouv\u00e9s, il est possible de faire ex\u00e9cuter sur l\u0027h\u00f4te des\n    commandes arbitraires en s\u0027authentifiant sous ce compte.\n-   Une mauvaise gestion des cha\u00eenes de format dans les serveurs en\n    version 2.x permet d\u0027ex\u00e9cuter du code avec les privil\u00e8ges du service\n    \u00e0 l\u0027aide d\u0027une requ\u00eate HTTP POST.\n-   Inversement une commande POST habilement constitu\u00e9e et envoy\u00e9e \u00e0 un\n    client provoque un d\u00e9bordement de m\u00e9moire et permet l\u0027ex\u00e9cution de\n    code.\n\nEnfin une requ\u00eate HTTP bien construite envoy\u00e9e \u00e0 un agent permet de lire\nn\u0027importe quel fichier du syst\u00e8me h\u00f4te.\n\n## Solution\n\nContacter votre revendeur NAI pour obtenir le correctif :\n\n    http://www.networkassociates.com/us/downloads/updates/hotfixes.asp\n",
  "cves": [],
  "links": [
    {
      "title": "Description du produit \u00abePolicy Orchestrator\u00bb :",
      "url": "http://www.mcafeesecurity.com/international/france/products/epolicy/default-management-solution.asp"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 de @stake :",
      "url": "http://www.atstake.com/research/advisories/2003/a073103-1.txt"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 et correctif de NAI :",
      "url": "http://www.nai.com/us/promos/mcafee/epo_vulnerabilities.asp"
    }
  ],
  "reference": "CERTA-2003-AVI-133",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-08-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Divulgation d\u0027informations"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance avec des privil\u00e8ges \u00e9lev\u00e9s"
    }
  ],
  "summary": "Des vuln\u00e9rabilit\u00e9s permettent \u00e0 un utilisateur mal intentionn\u00e9 distant\nd\u0027ex\u00e9cuter du code sur une machine h\u00e9bergeant un agent ou un serveur\navec les privil\u00e8ges \u00e9l\u00e9v\u00e9s du niveau \u003cspan class=\"textit\"\u003eSYSTEM\u003c/span\u003e.\nDe plus, l\u0027ensemble des fichiers de l\u0027h\u00f4te d\u0027un agent en version 3.0 est\naccessible en lecture.\n",
  "title": "Multiples failles dans McAfee \u00bbSecurity ePolicy Orchestrator\u00bb",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 @stake du 31/07/2003",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.