Vulnérabilités
Deux failles majeures pour Computer Associates.
Par Jerome Saiz, le 25 août 2005 à 11:16:00.
La série noire continue pour Computer Associates : deux nouvelles vulnérabilités critiques viennent d'être identifiées dans un composant commun à de nombreux produits de l'éditeur, dont l'incontournable Unicenter. Elles permettraient l'exécution de code à distance. Computer Associates a publié les correctifs nécessaires.
Sale temps pour Computer Associates : après les failles dans eTrust Antivirus puis dans les agents BrightStor ARCserve, l'éditeur annonce avoir découvert une série de vulnérabilités au sein d'un composant commun à de nombreux produits au catalogue.
Deux de ces failles permettraient l'exécution de code à distance sur les systèmes de l'entreprise. Les vulnérabilités concernent le composant CA Message Queuing (CAM / CAFT), que l'on retrouve notamment dans Unicenter, eTrust Admin, CleverPath et BrightStor Portal. Tous sont donc vulnérables, et cela quelle que soit la plateforme du produit (Windows, Mac, Linux, AS/400, la majorité des Unix commerciaux, etc... ).
Les spécialistes ne s'entendent cependant pas complètement quant à la gravité de ces failles : pour le FrSIRT il s'agit d'une boulette critique tandis que Secunia l'estime tout juste "modérement critique". Le point d'achoppement semble être de savoir si ces vulnérabilités ne peuvent être exploitées que depuis le réseau local (en raison de l'utilisation d'adresses non routables ou de protocoles spécifiques) ou aussi depuis Internet (dans le cas du portail CleverPath ou BrightStor ou des outils d'administration). Computer Associates, en tout cas, ne se mouille pas : l'alerte officielle ne parle que d'exploitation "à distance".
Ce n'est pas la première fois que les produits de l'éditeur sont victimes de vulnérabilités sérieuses. Récemment, le client BrightStor ARCserve pour Windows, l'antivirus eTrust et le client de gestion des licences des produits CA ont tous souffert de failles graves.
Plus généralement, ce sont tous les éditeurs d'outils de sécurité qui sont désormais sous l'oeil des chercheurs de failles. De nombreux d'entre eux en ont fait les frais récemment : McAfee, Symantec (pour son antivirus ou ses outils de backup), Trend Micro, F-Secure et même l'antivirus libre ClamAV (utilisé dans de nombreuses appliances commerciales telles Watchguard Firebox).
Plus d'information
- L'alerte officielle sur le site de Computer Associates.
- L'alerte chez FrSIRT (en français)
- L'alerte chez Secunia (en anglais)
Cartes blanches
Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
