CERTA-2007-AVI-053
Vulnerability from certfr_avis - Published: 2007-01-25 - Updated: 2007-01-25None
Description
Le produit Symantec Web Security propose des mesures de sécurité au niveau d'une passerelle Web, comme filtrer du contenu ou faire une analyse antivirale. Deux vulnérabilités ont été identifiées dans celui-ci :
- la console de gestion ne vérifierait pas correctement ses propres balises HTML dans les messages d'erreur retournés au client. Une personne malveillante pourrait effectuer une attaque de type cross-site scripting afin d'exécuter des scripts dans les pages HTML interprêtées par le navigateur de la victime ;
- une personne malveillante distante pourrait utiliser l'interface d'enregistrement (licence) pour envoyer un gros fichier au système Web Security vulnérable. Cela ne nécessite pas d'authentification préalable, et peut provoquer un déni du service Symantec.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Symantec Web Security 6.0 pour les versions antérieures à 3.0.1.85.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eSymantec Web Security 6.0 pour les versions ant\u00e9rieures \u00e0 3.0.1.85.\u003c/P\u003e",
"content": "## Description\n\nLe produit Symantec Web Security propose des mesures de s\u00e9curit\u00e9 au\nniveau d\u0027une passerelle Web, comme filtrer du contenu ou faire une\nanalyse antivirale. Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans\ncelui-ci :\n\n- la console de gestion ne v\u00e9rifierait pas correctement ses propres\n balises HTML dans les messages d\u0027erreur retourn\u00e9s au client. Une\n personne malveillante pourrait effectuer une attaque de type\n cross-site scripting afin d\u0027ex\u00e9cuter des scripts dans les pages HTML\n interpr\u00eat\u00e9es par le navigateur de la victime ;\n- une personne malveillante distante pourrait utiliser l\u0027interface\n d\u0027enregistrement (licence) pour envoyer un gros fichier au syst\u00e8me\n Web Security vuln\u00e9rable. Cela ne n\u00e9cessite pas d\u0027authentification\n pr\u00e9alable, et peut provoquer un d\u00e9ni du service Symantec.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2007-01-25T00:00:00",
"last_revision_date": "2007-01-25T00:00:00",
"links": [],
"reference": "CERTA-2007-AVI-053",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2007-01-25T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": null,
"title": "Vuln\u00e9rabilit\u00e9 de Symantec Web Security",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Symantec SYM07-001 du 24 janvier 2007",
"url": "http://securityresponse.symantec.com/avcenter/security/Content/2007.01.24c.html"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…