CERTA-2003-AVI-062

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité de type chaîne de format, permet à un utilisateur mal intentionné distant d'exécuter du code sur la machine visée avec les privilèges élévés du niveau SYSTEM.

Description

``ePolicy Orchestrator'' est un outil de gestion centralisée de la politique de sécurité antivirale. Il est composé de consoles d'administration, de serveurs et enfin d'agents sur chaque poste où la politique antivirus doit être appliquée et surveillée.

Les agents sont des services ayant les privilèges SYSTEM qui peuvent être interrogés à l'aide du protocole HTTP sur le port 8081/tcp. Une mauvaise gestion des chaînes de format dans ces requêtes permet l'exécution de code arbitraire.

Contournement provisoire

Afin de prévenir toute agression externe, les pare-feux peuvent être configurés pour filtrer le port 8081/tcp, cependant la faille reste alors exploitable depuis la même zone de sécurité. Si un pare-feu personnel est présent sur l'hôte, il peut être paramètré pour restreindre au serveur ``ePolicy Orchestrator'' les adresses IP autorisées à se connecter au port 8081/tcp.

Solution

Contacter votre revendeur NAI pour obtenir le correctif.

Tout système Microsoft Windows dont le service ``Agent NAI ePolicy Orchestrator'' est démarré.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me Microsoft Windows dont le service ``Agent NAI  ePolicy Orchestrator\u0027\u0027 est d\u00e9marr\u00e9.\u003c/P\u003e",
  "content": "## Description\n\n\\`\\`ePolicy Orchestrator\u0027\u0027 est un outil de gestion centralis\u00e9e de la\npolitique de s\u00e9curit\u00e9 antivirale. Il est compos\u00e9 de consoles\nd\u0027administration, de serveurs et enfin d\u0027agents sur chaque poste o\u00f9 la\npolitique antivirus doit \u00eatre appliqu\u00e9e et surveill\u00e9e.\n\nLes agents sont des services ayant les privil\u00e8ges SYSTEM qui peuvent\n\u00eatre interrog\u00e9s \u00e0 l\u0027aide du protocole HTTP sur le port 8081/tcp. Une\nmauvaise gestion des cha\u00eenes de format dans ces requ\u00eates permet\nl\u0027ex\u00e9cution de code arbitraire.\n\n## Contournement provisoire\n\nAfin de pr\u00e9venir toute agression externe, les pare-feux peuvent \u00eatre\nconfigur\u00e9s pour filtrer le port 8081/tcp, cependant la faille reste\nalors exploitable depuis la m\u00eame zone de s\u00e9curit\u00e9. Si un pare-feu\npersonnel est pr\u00e9sent sur l\u0027h\u00f4te, il peut \u00eatre param\u00e8tr\u00e9 pour\nrestreindre au serveur \\`\\`ePolicy Orchestrator\u0027\u0027 les adresses IP\nautoris\u00e9es \u00e0 se connecter au port 8081/tcp.\n\n## Solution\n\nContacter votre revendeur NAI pour obtenir le correctif.\n",
  "cves": [],
  "links": [
    {
      "title": "Description du produit ``ePolicy Orchestrator\u0027\u0027 :",
      "url": "http://www.mcafeeb2b.com/international/france/products/epolicy/default-management-solution.asp"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 de @stake :",
      "url": "http://www.atstake.com/research/advisories/2003/a031703-1.txt"
    }
  ],
  "reference": "CERTA-2003-AVI-062",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-03-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance avec des privil\u00e8ges \u00e9lev\u00e9s"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de type cha\u00eene de format, permet \u00e0 un utilisateur mal\nintentionn\u00e9 distant d\u0027ex\u00e9cuter du code sur la machine vis\u00e9e avec les\nprivil\u00e8ges \u00e9l\u00e9v\u00e9s du niveau \u003cspan class=\"textit\"\u003eSYSTEM\u003c/span\u003e.\n",
  "title": "Faille dans McAfee \"Security ePolicy Orchestrator\"",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 @stake du 17/03/2003",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.