L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Computer Associates Antivirus

bulletin de vulnérabilité CVE-2010-5151 CVE-2010-5152 CVE-2010-5154

Antivirus : contournement de SSDT Hooking

Synthèse de la vulnérabilité

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut employer une erreur d'atomicité, pour contourner cette protection.
Produits concernés : Avast AV, CA Antivirus, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norman Virus Control, Norton Antivirus, Norton Internet Security, Panda AV, Panda Internet Security, Symantec AV.
Gravité : 2/4.
Conséquences : accès/droits administrateur, transit de données.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 10/05/2010.
Date révision : 11/05/2010.
Références : CVE-2010-5151, CVE-2010-5152, CVE-2010-5154, CVE-2010-5156, CVE-2010-5161, CVE-2010-5163, CVE-2010-5166, CVE-2010-5167, CVE-2010-5168, CVE-2010-5171, CVE-2010-5172, CVE-2010-5177, CVE-2010-5179, VIGILANCE-VUL-9633.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les antivirus redirigent les entrées de cette table vers des fonctions de vérification. De nombreuses implémentations vérifient les paramètres, puis emploient l'appel système d'origine. Cependant, entre ces deux opérations, un attaquant local peut modifier les paramètres de l'appel système. Un attaquant peut donc créer un programme qui emploie des paramètres légitimes, puis les change au dernier moment, juste avant l'appel système.

Lorsqu'un antivirus redirige la SSDT pour détecter les virus, un attaquant local peut donc employer une erreur d'atomicité, pour contourner cette protection.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2009-3587 CVE-2009-3588

CA Anti-Virus : exécution de code via arclib

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR malformée, qui corrompt la mémoire, afin de stopper l'Anti-Virus, ou d'y faire exécuter du code.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 09/10/2009.
Références : BID-36653, CA20091008-01, CERTA-2009-AVI-431, CVE-2009-3587, CVE-2009-3588, G-SEC 46-2009, VIGILANCE-VUL-9080.

Description de la vulnérabilité

La bibliothèque arclib.dll/arclib.so extrait les fichiers contenus dans une archive. Elle comporte deux vulnérabilités.

Une archive RAR malformée provoque une corruption de tas dans arclib. [grav:3/4; CERTA-2009-AVI-431, CVE-2009-3587]

Une archive RAR malformée provoque une corruption de pile dans arclib. [grav:3/4; CVE-2009-3588]

Un attaquant peut donc créer une archive RAR malformée, qui corrompt la mémoire, afin de stopper l'Anti-Virus, ou d'y faire exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2009-0042

CA Anti-Virus : contournement de arclib

Synthèse de la vulnérabilité

Un attaquant peut créer une archive malformée contenant un virus qui n'est pas détecté par l'antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 27/01/2009.
Références : BID-33464, CA20090126-01, CERTA-2009-AVI-033, CVE-2009-0042, VIGILANCE-VUL-8426.

Description de la vulnérabilité

La bibliothèque arclib.dll/arclib.so extrait les fichiers contenus dans une archive.

Lorsque l'archive est malformée, arclib ne parvient pas à extraire les fichiers, et l'antivirus en déduit qu'il n'y a pas de virus dans cette archive.

Un attaquant peut donc créer une archive malformée contenant un virus qui n'est pas détecté par l'antivirus.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2007-4620

CA Alert Notification Server : exécution de code

Synthèse de la vulnérabilité

Un attaquant authentifié peut provoquer des débordements dans le service CA Alert Notification Server afin d'élever ses privilèges.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/04/2008.
Références : BID-28605, CERTA-2008-AVI-184, CVE-2007-4620, VIGILANCE-VUL-7734.

Description de la vulnérabilité

Le service CA Alert Notification Server est installé par plusieurs produits de Computer Associates (CA).

Ce service ne vérifie pas les paramètres fournis par les clients, ce qui conduit à des buffer overflows.

Un attaquant authentifié peut employer ces débordements afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2007-3875

Computer Associates AV : déni de service via CHM

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier CHM illicite provoquant une boucle infinie dans l'antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 25/07/2007.
Références : BID-25049, CAID 35525, CAID 35526, CVE-2007-3875, n.runs-SA-2007.024, VIGILANCE-VUL-7036.

Description de la vulnérabilité

Les fichiers portant l'extension CHM sont des fichiers d'aide compilés pour Windows.

Lorsque l'antivirus Computer Associates analyse un fichier CHM contenant une référence pointant vers un bloc de données précédent, une boucle infinie se produit.

Un attaquant peut donc créer un fichier CHM illicite afin de provoquer un déni de service dans l'antivirus.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2007-3825

CA AV eTrust : buffer overflows du service Alert

Synthèse de la vulnérabilité

Plusieurs buffer overflows affectent les produits Computer Associates utilisant le service Alert.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 3/4.
Conséquences : accès/droits administrateur.
Provenance : client intranet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 20/07/2007.
Références : CAID 35515, CERTA-2007-AVI-315, CVE-2007-3825, VIGILANCE-VUL-7024.

Description de la vulnérabilité

Le service Alert est employé par plusieurs produits Computer Associates :
 - CA Threat Manager for the Enterprise
 - CA Anti-Virus for the Enterprise
 - CA Protection Suites
 - BrightStor ARCserve

Ce service installe l'interface RPC 3d742890-397c-11cf-9bf1-00805f88cb72. Elle est accessible via SMB/CIFS et contient plusieurs buffer overflows.

Un attaquant du réseau peut donc se connecter sur la machine et employer ces vulnérabilités afin d'obtenir les privilèges system.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2007-2863 CVE-2007-2864

CA Anti-Virus, eTrust : buffer overflows de CAB

Synthèse de la vulnérabilité

Un attaquant peut créer une archive CAB illicite afin de provoquer deux débordements dans la famille des antivirus Computer Associates.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 06/06/2007.
Références : BID-24330, BID-24331, CERTA-2007-AVI-252, CVE-2007-2863, CVE-2007-2864, VIGILANCE-VUL-6885, VU#105105, VU#739409, ZDI-07-034, ZDI-07-035.

Description de la vulnérabilité

Un attaquant peut créer une archive CAB illicite afin de provoquer deux débordements dans la famille des antivirus Computer Associates.

Lorsqu'une archive CAB contient un fichier portant un nom trop long, un débordement se produit dans vete.dll. [grav:3/4; BID-24331, CERTA-2007-AVI-252, CVE-2007-2863, VU#739409, ZDI-07-034]

Lorsque le champ "coffFiles" d'une archive CAB est trop long, un débordement se produit. [grav:3/4; BID-24330, CVE-2007-2864, VU#105105, ZDI-07-035]

Ces deux débordements peuvent conduire à l'exécution de code.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2007-2522 CVE-2007-2523

CA Anti-Virus : multiples buffer overflow

Synthèse de la vulnérabilité

Un attaquant local ou distant peut provoquer plusieurs buffer overflow dans la gamme antivirus de Computer Associates.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits utilisateur.
Provenance : client intranet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 11/05/2007.
Références : BID-23906, CAID 35330, CAID 35331, CERTA-2007-AVI-217, CVE-2007-2522, CVE-2007-2523, VIGILANCE-VUL-6812, VU#680616, VU#788416, ZDI-07-028.

Description de la vulnérabilité

Un attaquant peut provoquer deux buffer overflow dans la gamme antivirus de Computer Associates.

Le serveur web InoWeb.exe écoute sur le port 12168/tcp. L'utilisateur doit s'authentifier avant d'accéder à ce service. Cependant, le login et le mot de passe saisis sont stockés dans un tableau de taille fixe sans vérification, ce qui conduit à un débordement. Un attaquant distant peut ainsi faire exécuter du code. [grav:3/4; CERTA-2007-AVI-217, CVE-2007-2522, VU#680616, ZDI-07-028]

Le service des tâches InoTask.exe, lié à InoCore.dll, emploie un fichier partagé qui peut être modifié par tous les utilisateurs locaux. Un attaquant local peut alors y stocker une valeur trop longue afin de provoquer un débordement, puis l'exécution de code avec les droits SYSTEM. [grav:3/4; CVE-2007-2523, VU#788416]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2006-6496

CA Anti-Virus : déni de service de vetfddnt.sys et vetmonnt.sys

Synthèse de la vulnérabilité

Un attaquant local peut envoyer des données illicites aux drivers vetfddnt.sys et vetmonnt.sys afin de stopper l'antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 1/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 14/12/2006.
Références : BID-21593, CAID 34870, CVE-2006-6496, VIGILANCE-VUL-6402.

Description de la vulnérabilité

Les drivers vetfddnt.sys et vetmonnt.sys sont utilisés par CA Anti-Virus.

Certaines de leurs fonctions, accessibles par ioctl, ne vérifient pas si les paramètres sont NULL avant de les déréférencer.

Un attaquant local peut donc employer un paramètre NULL afin de stopper le système.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2006-5645 CVE-2006-6458

Antivirus : boucle infinie via une archive RAR

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR illicite afin de provoquer une boucle infinie dans certains antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus, Sophos AV, TrendMicro Internet Security.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/12/2006.
Références : 7609, BID-21509, CAID 35525, CAID 35526, CVE-2006-5645, CVE-2006-6458, CVE-2007-5645-ERROR, iDefense Security Advisory 12.08.06, VIGILANCE-VUL-6384.

Description de la vulnérabilité

Le format RAR est composé d'une succession de sections d'entêtes et de données.

La section "Archive Header" correspond à l'entête général du fichier. Le champ "head_size" indique la taille de cet entête et le champ "pack_size" indique la taille compressée.

Lorsque les champs "head_size" et "pack_size" valent zéro, l'archive est invalide. Cependant certains antivirus entrent dans une boucle infinie en cherchant à lire des données.

Les antivirus identifiés comme vulnérables sont :
 - CA Anti-Virus
 - Sophos Small business edition (Windows/Linux) 4.06.1 (engine version 2.34.3)
 - Trend Micro Office Scan 7.3
 - Trend Micro PC Cillin - Internet Security 2006
 - Trend Micro Server Protect 5.58
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.