L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de e-Trust Antivirus

bulletin de vulnérabilité informatique CVE-2012-1440 CVE-2012-1446 CVE-2012-1453

eTrust Antivirus : contournement via CAB, ELF

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ou un programme, contenant un virus qui n'est pas détecté par eTrust Antivirus.
Produits concernés : e-Trust Antivirus.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 21/03/2012.
Références : BID-52595, BID-52600, BID-52621, CVE-2012-1440, CVE-2012-1446, CVE-2012-1453, VIGILANCE-VUL-11478.

Description de la vulnérabilité

Les outils d'extraction d'archives (CAB) acceptent d'extraire des archives légèrement malformées. Les systèmes acceptent aussi d'exécuter des programmes (ELF) légèrement malformés. Cependant, eTrust Antivirus ne détecte pas les virus contenus dans ces archives/programmes.

Un programme ELF contenant un champ "identsize" trop grand contourne la détection. [grav:2/4; BID-52595, CVE-2012-1440]

Un programme ELF contenant un champ "encoding" trop grand contourne la détection. [grav:2/4; BID-52600, CVE-2012-1446]

Une archive CAB contenant un champ "coffFiles" trop grand contourne la détection. [grav:1/4; BID-52621, CVE-2012-1453]

Un attaquant peut donc créer une archive contenant un virus qui n'est pas détecté par l'antivirus, mais qui est extrait par les outils d'extraction. Le virus est ensuite détecté une fois qu'il a été extrait sur le poste de la victime. Un attaquant peut aussi créer un programme, contenant un virus qui n'est pas détecté par l'antivirus, mais qui est exécuté par le système.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2009-3587 CVE-2009-3588

CA Anti-Virus : exécution de code via arclib

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR malformée, qui corrompt la mémoire, afin de stopper l'Anti-Virus, ou d'y faire exécuter du code.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 09/10/2009.
Références : BID-36653, CA20091008-01, CERTA-2009-AVI-431, CVE-2009-3587, CVE-2009-3588, G-SEC 46-2009, VIGILANCE-VUL-9080.

Description de la vulnérabilité

La bibliothèque arclib.dll/arclib.so extrait les fichiers contenus dans une archive. Elle comporte deux vulnérabilités.

Une archive RAR malformée provoque une corruption de tas dans arclib. [grav:3/4; CERTA-2009-AVI-431, CVE-2009-3587]

Une archive RAR malformée provoque une corruption de pile dans arclib. [grav:3/4; CVE-2009-3588]

Un attaquant peut donc créer une archive RAR malformée, qui corrompt la mémoire, afin de stopper l'Anti-Virus, ou d'y faire exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2009-0042

CA Anti-Virus : contournement de arclib

Synthèse de la vulnérabilité

Un attaquant peut créer une archive malformée contenant un virus qui n'est pas détecté par l'antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Date création : 27/01/2009.
Références : BID-33464, CA20090126-01, CERTA-2009-AVI-033, CVE-2009-0042, VIGILANCE-VUL-8426.

Description de la vulnérabilité

La bibliothèque arclib.dll/arclib.so extrait les fichiers contenus dans une archive.

Lorsque l'archive est malformée, arclib ne parvient pas à extraire les fichiers, et l'antivirus en déduit qu'il n'y a pas de virus dans cette archive.

Un attaquant peut donc créer une archive malformée contenant un virus qui n'est pas détecté par l'antivirus.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2007-4620

CA Alert Notification Server : exécution de code

Synthèse de la vulnérabilité

Un attaquant authentifié peut provoquer des débordements dans le service CA Alert Notification Server afin d'élever ses privilèges.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 04/04/2008.
Références : BID-28605, CERTA-2008-AVI-184, CVE-2007-4620, VIGILANCE-VUL-7734.

Description de la vulnérabilité

Le service CA Alert Notification Server est installé par plusieurs produits de Computer Associates (CA).

Ce service ne vérifie pas les paramètres fournis par les clients, ce qui conduit à des buffer overflows.

Un attaquant authentifié peut employer ces débordements afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2007-3875

Computer Associates AV : déni de service via CHM

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier CHM illicite provoquant une boucle infinie dans l'antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Date création : 25/07/2007.
Références : BID-25049, CAID 35525, CAID 35526, CVE-2007-3875, n.runs-SA-2007.024, VIGILANCE-VUL-7036.

Description de la vulnérabilité

Les fichiers portant l'extension CHM sont des fichiers d'aide compilés pour Windows.

Lorsque l'antivirus Computer Associates analyse un fichier CHM contenant une référence pointant vers un bloc de données précédent, une boucle infinie se produit.

Un attaquant peut donc créer un fichier CHM illicite afin de provoquer un déni de service dans l'antivirus.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2007-3825

CA AV eTrust : buffer overflows du service Alert

Synthèse de la vulnérabilité

Plusieurs buffer overflows affectent les produits Computer Associates utilisant le service Alert.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 3/4.
Conséquences : accès/droits administrateur.
Provenance : client intranet.
Date création : 20/07/2007.
Références : CAID 35515, CERTA-2007-AVI-315, CVE-2007-3825, VIGILANCE-VUL-7024.

Description de la vulnérabilité

Le service Alert est employé par plusieurs produits Computer Associates :
 - CA Threat Manager for the Enterprise
 - CA Anti-Virus for the Enterprise
 - CA Protection Suites
 - BrightStor ARCserve

Ce service installe l'interface RPC 3d742890-397c-11cf-9bf1-00805f88cb72. Elle est accessible via SMB/CIFS et contient plusieurs buffer overflows.

Un attaquant du réseau peut donc se connecter sur la machine et employer ces vulnérabilités afin d'obtenir les privilèges system.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2007-2863 CVE-2007-2864

CA Anti-Virus, eTrust : buffer overflows de CAB

Synthèse de la vulnérabilité

Un attaquant peut créer une archive CAB illicite afin de provoquer deux débordements dans la famille des antivirus Computer Associates.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 06/06/2007.
Références : BID-24330, BID-24331, CERTA-2007-AVI-252, CVE-2007-2863, CVE-2007-2864, VIGILANCE-VUL-6885, VU#105105, VU#739409, ZDI-07-034, ZDI-07-035.

Description de la vulnérabilité

Un attaquant peut créer une archive CAB illicite afin de provoquer deux débordements dans la famille des antivirus Computer Associates.

Lorsqu'une archive CAB contient un fichier portant un nom trop long, un débordement se produit dans vete.dll. [grav:3/4; BID-24331, CERTA-2007-AVI-252, CVE-2007-2863, VU#739409, ZDI-07-034]

Lorsque le champ "coffFiles" d'une archive CAB est trop long, un débordement se produit. [grav:3/4; BID-24330, CVE-2007-2864, VU#105105, ZDI-07-035]

Ces deux débordements peuvent conduire à l'exécution de code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2007-2522 CVE-2007-2523

CA Anti-Virus : multiples buffer overflow

Synthèse de la vulnérabilité

Un attaquant local ou distant peut provoquer plusieurs buffer overflow dans la gamme antivirus de Computer Associates.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits utilisateur.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 11/05/2007.
Références : BID-23906, CAID 35330, CAID 35331, CERTA-2007-AVI-217, CVE-2007-2522, CVE-2007-2523, VIGILANCE-VUL-6812, VU#680616, VU#788416, ZDI-07-028.

Description de la vulnérabilité

Un attaquant peut provoquer deux buffer overflow dans la gamme antivirus de Computer Associates.

Le serveur web InoWeb.exe écoute sur le port 12168/tcp. L'utilisateur doit s'authentifier avant d'accéder à ce service. Cependant, le login et le mot de passe saisis sont stockés dans un tableau de taille fixe sans vérification, ce qui conduit à un débordement. Un attaquant distant peut ainsi faire exécuter du code. [grav:3/4; CERTA-2007-AVI-217, CVE-2007-2522, VU#680616, ZDI-07-028]

Le service des tâches InoTask.exe, lié à InoCore.dll, emploie un fichier partagé qui peut être modifié par tous les utilisateurs locaux. Un attaquant local peut alors y stocker une valeur trop longue afin de provoquer un débordement, puis l'exécution de code avec les droits SYSTEM. [grav:3/4; CVE-2007-2523, VU#788416]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2006-6496

CA Anti-Virus : déni de service de vetfddnt.sys et vetmonnt.sys

Synthèse de la vulnérabilité

Un attaquant local peut envoyer des données illicites aux drivers vetfddnt.sys et vetmonnt.sys afin de stopper l'antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus.
Gravité : 1/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : shell utilisateur.
Date création : 14/12/2006.
Références : BID-21593, CAID 34870, CVE-2006-6496, VIGILANCE-VUL-6402.

Description de la vulnérabilité

Les drivers vetfddnt.sys et vetmonnt.sys sont utilisés par CA Anti-Virus.

Certaines de leurs fonctions, accessibles par ioctl, ne vérifient pas si les paramètres sont NULL avant de les déréférencer.

Un attaquant local peut donc employer un paramètre NULL afin de stopper le système.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2006-5645 CVE-2006-6458

Antivirus : boucle infinie via une archive RAR

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR illicite afin de provoquer une boucle infinie dans certains antivirus.
Produits concernés : CA Antivirus, e-Trust Antivirus, Sophos AV, TrendMicro Internet Security.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 11/12/2006.
Références : 7609, BID-21509, CAID 35525, CAID 35526, CVE-2006-5645, CVE-2006-6458, CVE-2007-5645-ERROR, iDefense Security Advisory 12.08.06, VIGILANCE-VUL-6384.

Description de la vulnérabilité

Le format RAR est composé d'une succession de sections d'entêtes et de données.

La section "Archive Header" correspond à l'entête général du fichier. Le champ "head_size" indique la taille de cet entête et le champ "pack_size" indique la taille compressée.

Lorsque les champs "head_size" et "pack_size" valent zéro, l'archive est invalide. Cependant certains antivirus entrent dans une boucle infinie en cherchant à lire des données.

Les antivirus identifiés comme vulnérables sont :
 - CA Anti-Virus
 - Sophos Small business edition (Windows/Linux) 4.06.1 (engine version 2.34.3)
 - Trend Micro Office Scan 7.3
 - Trend Micro PC Cillin - Internet Security 2006
 - Trend Micro Server Protect 5.58
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.