CERTA-2007-AVI-053
Vulnerability from certfr_avis
None
Description
Le produit Symantec Web Security propose des mesures de sécurité au niveau d'une passerelle Web, comme filtrer du contenu ou faire une analyse antivirale. Deux vulnérabilités ont été identifiées dans celui-ci :
- la console de gestion ne vérifierait pas correctement ses propres balises HTML dans les messages d'erreur retournés au client. Une personne malveillante pourrait effectuer une attaque de type cross-site scripting afin d'exécuter des scripts dans les pages HTML interprêtées par le navigateur de la victime ;
- une personne malveillante distante pourrait utiliser l'interface d'enregistrement (licence) pour envoyer un gros fichier au système Web Security vulnérable. Cela ne nécessite pas d'authentification préalable, et peut provoquer un déni du service Symantec.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Symantec Web Security 6.0 pour les versions antérieures à 3.0.1.85.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eSymantec Web Security 6.0 pour les versions ant\u00e9rieures \u00e0 3.0.1.85.\u003c/P\u003e",
"content": "## Description\n\nLe produit Symantec Web Security propose des mesures de s\u00e9curit\u00e9 au\nniveau d\u0027une passerelle Web, comme filtrer du contenu ou faire une\nanalyse antivirale. Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans\ncelui-ci :\n\n- la console de gestion ne v\u00e9rifierait pas correctement ses propres\n balises HTML dans les messages d\u0027erreur retourn\u00e9s au client. Une\n personne malveillante pourrait effectuer une attaque de type\n cross-site scripting afin d\u0027ex\u00e9cuter des scripts dans les pages HTML\n interpr\u00eat\u00e9es par le navigateur de la victime ;\n- une personne malveillante distante pourrait utiliser l\u0027interface\n d\u0027enregistrement (licence) pour envoyer un gros fichier au syst\u00e8me\n Web Security vuln\u00e9rable. Cela ne n\u00e9cessite pas d\u0027authentification\n pr\u00e9alable, et peut provoquer un d\u00e9ni du service Symantec.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [],
"initial_release_date": "2007-01-25T00:00:00",
"last_revision_date": "2007-01-25T00:00:00",
"links": [],
"reference": "CERTA-2007-AVI-053",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2007-01-25T00:00:00.000000"
}
],
"risks": [
{
"description": "D\u00e9ni de service \u00e0 distance"
},
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": null,
"title": "Vuln\u00e9rabilit\u00e9 de Symantec Web Security",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 Symantec SYM07-001 du 24 janvier 2007",
"url": "http://securityresponse.symantec.com/avcenter/security/Content/2007.01.24c.html"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…