L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de SWS

avis de vulnérabilité CVE-2016-5309 CVE-2016-5310

Symantec Endpoint Protection, Mail Security, Web Gateway, Web Security : deux vulnérabilités via une archive RAR

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de l'analyseur d'archives RAR de Symantec Endpoint Protection, Mail Security, Web Gateway, Web Security.
Produits concernés : Symantec Endpoint Protection, Symantec Mail Security, Symantec Web Gateway, SWS.
Gravité : 3/4.
Conséquences : accès/droits privilégié, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 20/09/2016.
Date révision : 21/09/2016.
Références : CVE-2016-5309, CVE-2016-5310, VIGILANCE-VUL-20654.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Symantec Endpoint Protection, Mail Security, Web Gateway, Web Security.

Un attaquant peut provoquer une corruption de mémoire dans l'analyseur d'archive RAR, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; CVE-2016-5310]

Un attaquant peut provoquer un débordement de tampon en lecture dans l'analyseur d'archive RAR, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2016-5309]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-2207 CVE-2016-2209 CVE-2016-2210

Symantec : sept vulnérabilités du module "Decomposer"

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités des produits Symantec.
Produits concernés : Norton Antivirus, Norton Internet Security, Norton Security, Symantec Endpoint Protection, Symantec Mail Security, Symantec Web Gateway, SWS.
Gravité : 4/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 29/06/2016.
Date révision : 29/06/2016.
Références : 810, 814, 816, 818, 819, 821, 823, CERTFR-2016-AVI-222, CVE-2016-2207, CVE-2016-2209, CVE-2016-2210, CVE-2016-2211, CVE-2016-3644, CVE-2016-3645, CVE-2016-3646, VIGILANCE-VUL-19997.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Symantec Endpoint Protection.

Un attaquant peut provoquer un buffer overflow via un sous flux de fichier MS-Office, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; 823, CVE-2016-2209]

Un attaquant peut forcer la lecture à une adresse invalide via ALPkOldFormatDecompressor::UnShrink, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; 821, CVE-2016-3646]

Un attaquant peut provoquer un débordement d'entier via Attachment::setDataFromAttachment, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; 819, CVE-2016-3645]

Un attaquant peut provoquer un buffer overflow via CMIMEParser::UpdateHeader, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; 818, CVE-2016-3644]

Un attaquant peut provoquer une corruption de mémoire via une archive MSPACK, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; 816, CVE-2016-2211]

Un attaquant peut provoquer un buffer overflow via CSymLHA::get_header, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:4/4; 814, CVE-2016-2210]

Un attaquant peut provoquer une corruption de mémoire via une archive RAR, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:3/4; 810, CVE-2016-2207]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2007-0447 CVE-2007-3699

Symantec AV, SGS, WS, Norton AV, IS, PF : vulnérabilités de RAR et CAB

Synthèse de la vulnérabilité

Deux vulnérabilités des produits Symantec et Norton conduisent à un déni de service ou à l'exécution de code.
Produits concernés : Norton Antivirus, Norton Internet Security, Raptor Firewall, Symantec AV, SEF, SGS, SWS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 12/07/2007.
Date révision : 13/07/2007.
Références : BID-24282, CVE-2007-0447, CVE-2007-3699, CVE-2007-3801-REJECT, SYM07-019, VIGILANCE-VUL-7004, ZDI-07-039, ZDI-07-040.

Description de la vulnérabilité

Deux vulnérabilités des produits Symantec et Norton concernent l'analyse de fichier RAR ou CAB.

Un attaquant peut modifier le champ PACK_SIZE de l'entête d'un fichier RAR afin de créer une boucle infinie lors de l'ouverture du fichier. [grav:3/4; CVE-2007-3699, CVE-2007-3801-REJECT, ZDI-07-039]

Une archive CAB illicite peut créer un débordement conduisant à l'exécution de code. [grav:3/4; CVE-2007-0447, ZDI-07-040]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 6498

Symantec Web Security : Cross Site Scripting et déni de service

Synthèse de la vulnérabilité

Un attaquant peut mettre en oeuvre deux vulnérabilités de Symantec Web Security.
Produits concernés : SWS.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 25/01/2007.
Références : BID-22184, SYM07-001, VIGILANCE-VUL-6498.

Description de la vulnérabilité

Un attaquant peut mettre en oeuvre deux vulnérabilités de Symantec Web Security.

Les pages d'erreur et celles qui indiquent le blocage d'un site ne filtrent pas correctement les données qu'elles affichent. Un attaquant peut alors provoquer une attaque de type Cross Site Scripting dans la console de management web. [grav:2/4]

Un attaquant peut envoyer un gros fichier vers l'interface de gestion des licences, afin de fortement ralentir le service lors de l'analyse de ces données. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2006-3454

Symantec AV : attaque par format

Synthèse de la vulnérabilité

Un attaquant peut utiliser la personnalisation des messages d'alertes pour exécuter du code ou provoquer un déni de service de l'antivirus.
Produits concernés : Symantec AV, SWS.
Gravité : 2/4.
Conséquences : accès/droits privilégié, déni de service du service.
Provenance : shell utilisateur.
Date création : 14/09/2006.
Références : CERTA-2006-AVI-394, CVE-2006-3454, SYM06-017, VIGILANCE-VUL-6158.

Description de la vulnérabilité

Le logiciel Symantec antivirus permet à l'utilisateur de personnaliser le message d'alerte lorsque un virus est détecté.

Deux attaques par formats ont été identifiées dans la gestion de la personnalisation des alertes :
  - les paramètres entrés par l'utilisateur ne sont pas correctement vérifiés et permettent de mener une attaque par format lors de la personnalisation du message,
  - le contenu du message n'est pas correctement nettoyé, et peut provoquer une attaque par format menant à un déni de service lorsqu'un fichier illicite est détecté.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2005-4438

Symantec : débordements à l'aide d'archives RAR

Synthèse de la vulnérabilité

Un attaquant peut provoquer trois débordements dans Symantec Antivirus Library en utilisant des archives RAR.
Produits concernés : Norton Antivirus, SWS.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 20/12/2005.
Date révision : 22/12/2005.
Références : 2005.12.21, BID-15971, CERTA-2006-AVI-007, CVE-2005-4438, SYM05-027, VIGILANCE-VUL-5442, VU#305272.

Description de la vulnérabilité

La bibliothèque Symantec Antivirus Library est utilisée par plusieurs produits de la gamme Symantec.

La DLL dec2rar.dll ne valide pas la taille des données provenant d'archives RAR avant de les copier dans des tableaux. Une archive RAR peut donc conduire à trois débordements de tableau.

Un attaquant peut ainsi utiliser une archive spéciale afin de faire exécuter du code sur l'application.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2005-1346

Symantec AntiVirus : non détection d'archives RAR

Synthèse de la vulnérabilité

Un virus situé dans une archive RAR illicite n'est pas détecté par plusieurs produits de la gamme Symantec AntiVirus.
Produits concernés : Norton Antivirus, Norton Internet Security, SWS.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Date création : 28/04/2005.
Références : 2005.04.27, BID-13416, CVE-2005-1346, V6-SYMANTECAVRARBYPASS, VIGILANCE-VUL-4936.

Description de la vulnérabilité

Les archives RAR sont compressées et possèdent l'extension ".rar".

Lorsque Symantec AntiVirus décompresse une archive illicite, une erreur se produit et stoppe l'ouverture de l'archive. Les éventuels virus qu'elle contiendrait ne sont pas détectés.

Un attaquant peut donc employer cette vulnérabilité pour faire transiter un virus. On peut noter que ce virus sera détecté lors de l'extraction de l'archive sur le poste de l'utilisateur, par son antivirus local.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2005-0249

Symantec : buffer overflow lors de l'analyse de fichier UPX

Synthèse de la vulnérabilité

Un attaquant distant peut créer un fichier UPX illicite, provoquant un buffer overflow dans les antivirus Symantec.
Produits concernés : Norton Antivirus, Norton Internet Security, SWS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Date création : 09/02/2005.
Références : 187, 2005.02.08, BID-12492, CVE-2005-0249, V6-SYMANTECAVUPXBOF, VIGILANCE-VUL-4738, VU#107822.

Description de la vulnérabilité

Le format UPX (Ultimate Packer for eXecutables) permet de compresser un programme et de le décompresser avant son exécution.

La bibliothèque antivirus de Symantec est employée dans tous les produits analysant des flux.

Cette bibliothèque ne vérifie pas la valeur d'un offset indiquée dans le format UPX. Ainsi, lors de l'ouverture d'un fichier UPX indiquant un offset négatif, une zone mémoire est écrasée. Du code s'exécute alors avec les droits de l'application.

Un attaquant peut par exemple envoyer un email contenant un fichier UPX illicite, afin de faire exécuter du code sur la machine des utilisateurs.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 2297

Déni de service par des fichiers compressés

Synthèse de la vulnérabilité

En envoyant des fichiers compressés au serveur de messagerie, l'attaquant distant peut mener un déni de service sur l'antivirus.
Produits concernés : F-PROT AV, Kaspersky AV, VirusScan, Norton Antivirus, Sophos AV, SWS, InterScan VirusWall.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Date création : 26/02/2002.
Dates révisions : 27/02/2002, 12/01/2004, 09/02/2004, 28/06/2004.
Références : BID-10537, BID-9393, V6-ANTIVIRUSMAILBIGFILEDOS, VIGILANCE-VUL-2297.

Description de la vulnérabilité

Dans la plupart des architectures sécurisées, un antivirus est associé au serveur de messagerie. Celui-ci scanne le contenu des e-mails reçus et envoyés. Les fichiers compressés (zip, rar, tar.gz, tgz, bz2, etc.) suivent un chemin particulier:
 - ils sont décompressés dans une zone de quarantaine,
 - leur contenu est vérifié,
Si aucun virus n'est détecté, l'antivirus valide le fichier et traite l'email suivant.

Cependant, une erreur de conception a été découverte sur la plupart des antivirus. En effet, lorsqu'ils décompressent des fichiers compressés, aucune vérification de la taille des fichiers n'est effectuée.

Ainsi, un attaquant distant peut :
 - créer un fichier volumineux contenant des données fortement compressibles (1 pour 1000),
 - compresser ce fichier,
 - envoyer ce fichier par e-mail.
Lorsque le serveur reçoit l'email, l'antivirus utilise une partie des ressources CPU pour le décompresser, ainsi qu'une quantité importante d'espace disque.

L'attaquant peut donc mener un déni de service à deux niveaux sur le serveur associé à l'antivirus: utilisation importante du CPU et de l'espace disque.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 3961

Cross Site Scripting de Symantec Web Security

Synthèse de la vulnérabilité

Lorsqu'une page web est bloquée, une attaque par Cross Site Scripting peut se produire dans Symantec Web Security.
Produits concernés : SWS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 19/01/2004.
Références : BID-9418, V6-SYMANTECWSBLOCKXSS, VIGILANCE-VUL-3961.

Description de la vulnérabilité

Le produit Symantec Web Security peut bloquer certaines pages illicites.

Un attaquant peut inclure un script illicite dans une url. Il s'exécutera par Cross Site Scripting dans le contexte de la page bloquée.

Cette vulnérabilité pourrait par exemple permettre d'obtenir les cookies de l'utilisateur, pour le site concerné.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.