CERTA-2006-AVI-296

Vulnerability from certfr_avis - Published: 2006-07-18 - Updated: 2006-07-18

Une vulnérabilité est présente sur McAfee ePolicy Orchestrator. Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné pour compromettre un système vulnérable.

Description

McAfee ePolicy Orchestrator est un outil de gestion centralisée de la sécurité.

Une vulnérabilité est présente dans le traitement de certaines entrées sur le composant console's Framework service. Cette vulnérabilité peut être exploitée par un utilisateur mal intentionné pour écrire des fichiers sur le système à l'aide d'une requête malveillante.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Le correctif est disponible à l'adresse suivante :

http://secure.nai.com/us/forms/downloads/upagrades/login.asp

McAfee ePolicy Orchestrator versions 3.x antérieures à la version 3.5.5.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eMcAfee ePolicy Orchestrator versions  3.x ant\u00e9rieures \u00e0 la version 3.5.5.\u003c/p\u003e",
  "content": "## Description\n\nMcAfee ePolicy Orchestrator est un outil de gestion centralis\u00e9e de la\ns\u00e9curit\u00e9.\n\nUne vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans le traitement de certaines entr\u00e9es\nsur le composant console\u0027s Framework service. Cette vuln\u00e9rabilit\u00e9 peut\n\u00eatre exploit\u00e9e par un utilisateur mal intentionn\u00e9 pour \u00e9crire des\nfichiers sur le syst\u00e8me \u00e0 l\u0027aide d\u0027une requ\u00eate malveillante.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).  \nLe correctif est disponible \u00e0 l\u0027adresse suivante :\n\n    http://secure.nai.com/us/forms/downloads/upagrades/login.asp\n",
  "cves": [],
  "initial_release_date": "2006-07-18T00:00:00",
  "last_revision_date": "2006-07-18T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 eeye :",
      "url": "http://www.eeye.com/html/research/advisories/AD20060713.html"
    }
  ],
  "reference": "CERTA-2006-AVI-296",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-07-18T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 est pr\u00e9sente sur McAfee ePolicy Orchestrator. Cette\nvuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e par un utilisateur mal intentionn\u00e9\npour compromettre un syst\u00e8me vuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 sur McAfee ePolicy Orchestrator",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de securit\u00e9 de eeye",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.