CERTA-2006-AVI-463

Vulnerability from certfr_avis - Published: 2006-10-25 - Updated: 2006-10-25

Une vulnérabilité a été identifiée dans certains produits de sécurité Symantec. Une personne malveillante locale au système pourrait exploiter celle-ci pour élever ses droits à ceux de l'administrateur, voire exécuter des commandes arbitraires sur la machine ayant une version vulnérable.

Description

Une vulnérabilité a été identifiée dans certains produits de sécurité Symantec. Elle provient d'un pilote particulier, SAVRT.SYS, installé par défaut.

Une application particulière dans les produits communique avec les pilotes : DeviceIOControl. Le pilote ne verifierait pas correctement un espace d'adressage au cours de la communication avec cette dernière.

La vulnérabilité pourrait donc être exploitée par une personne locale au système, qui enverrait des données spécifiques via la fonction DeviceIOControl(). Cela lui permettrait d'élever ses droits à ceux de l'administrateur, voire exécuter des commandes arbitraires sur la machine ayant une version vulnérable.

Solution

Se référer au bulletin de sécurité SYM06-022 de l'éditeur Symantec pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Symantec N/A Symantec AntiVirus Corporate Edition pour la version 9.0.3 ainsi que celles antérieures ;
Symantec N/A Symantec Client Security pour la version 2.0.3 ainsi que celles antérieures.
Symantec N/A Symantec Client Security version 1.1 ;
Symantec N/A Symantec AntiVirus Corporate Edition 8.1 ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Symantec AntiVirus Corporate Edition pour la version 9.0.3 ainsi que celles ant\u00e9rieures ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Symantec",
          "scada": false
        }
      }
    },
    {
      "description": "Symantec Client Security pour la version 2.0.3 ainsi que celles ant\u00e9rieures.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Symantec",
          "scada": false
        }
      }
    },
    {
      "description": "Symantec Client Security version 1.1 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Symantec",
          "scada": false
        }
      }
    },
    {
      "description": "Symantec AntiVirus Corporate Edition 8.1 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Symantec",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans certains produits de s\u00e9curit\u00e9\nSymantec. Elle provient d\u0027un pilote particulier, SAVRT.SYS, install\u00e9 par\nd\u00e9faut.\n\nUne application particuli\u00e8re dans les produits communique avec les\npilotes : DeviceIOControl. Le pilote ne verifierait pas correctement un\nespace d\u0027adressage au cours de la communication avec cette derni\u00e8re.\n\nLa vuln\u00e9rabilit\u00e9 pourrait donc \u00eatre exploit\u00e9e par une personne locale au\nsyst\u00e8me, qui enverrait des donn\u00e9es sp\u00e9cifiques via la fonction\nDeviceIOControl(). Cela lui permettrait d\u0027\u00e9lever ses droits \u00e0 ceux de\nl\u0027administrateur, voire ex\u00e9cuter des commandes arbitraires sur la\nmachine ayant une version vuln\u00e9rable.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 SYM06-022 de l\u0027\u00e9diteur Symantec pour\nl\u0027obtention des correctifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2006-3455",
      "url": "https://www.cve.org/CVERecord?id=CVE-2006-3455"
    }
  ],
  "initial_release_date": "2006-10-25T00:00:00",
  "last_revision_date": "2006-10-25T00:00:00",
  "links": [],
  "reference": "CERTA-2006-AVI-463",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2006-10-25T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans certains produits de s\u00e9curit\u00e9\nSymantec. Une personne malveillante locale au syst\u00e8me pourrait exploiter\ncelle-ci pour \u00e9lever ses droits \u00e0 ceux de l\u0027administrateur, voire\nex\u00e9cuter des commandes arbitraires sur la machine ayant une version\nvuln\u00e9rable.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans certains produits Symantec",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Symantec SYM06-022 du 23 octobre 2006",
      "url": "http://www.symantec.com/avcenter/security/Content/2006.10.23.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.