|
 |
|
Symantec Backup Exec RPC-Interface Heap-Überlauf-Sicherheitslücke
|
|
|
|
|
Secunia Advisory:
|
SA26032
|
|
|
Herausgegeben:
|
2007-07-11
|
|
Last Update:
|
2007-07-12
|
|
|
Gefahrenstufe:
|
Mittelgradig kritisch
|
|
Auswirkung:
|
DoS
Systemzugriff
|
|
Von Wo:
|
Aus dem lokalen Netzwerk
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Symantec Backup Exec for Windows Servers 10.x
Symantec Backup Exec for Windows Servers 11.x
|
| | CVE reference: | CVE-2007-3509 (Secunia mirror)
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Eine Sicherheitslücke in Symantec Backup Exec wurde gemeldet, die böswillige Personen ausnutzen können, um einen DoS (Denial of Service) zu verursachen und potenziell ein verwundbares System zu kompromittieren.
Die Sicherheitslücke besteht in einem Begrenzungsfehler innerhalb der Verarbeitung von Eingaben, die an ein RPC-Interface gesendet werden. Diese kann ausgenutzt werden, um einen Heap-basierten Pufferüberlauf zu verursachen, indem man eine speziell präparierte Anfrage unter Benutzung des Protokolls "ncacn_ip_tcp" an den Standardport 6106/TCP sendet.
Eine erfolgreiche Ausnutzung könnte die Ausführung von beliebigem Code ermöglichen.
Die Sicherheitslücke wurde in den folgenden Versionen gemeldet:
* Backup Exec for Windows Servers Version 10.0 build 10.0.5484
* Backup Exec for Windows Servers Version 10.0 build 10.0.5520
* Backup Exec for Windows Servers Version 10d build 10.1.5629
* Backup Exec for Windows Servers Version 11d build 11.0.6235
* Backup Exec for Windows Servers Version 11d build 11.0.7170
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, scan using the Network Software Inspector.
Lösung:
Verwenden Sie den Hotfix:
http://support.veritas.com/docs/289283
Gemeldet und/oder entdeckt von:
Von einer anonymen Person entdeckt und durch iDefense Labs gemeldet.
Änderungen:
2007-07-12: "Beschreibung" aktualisiert und Link zu iDefense hinzugefügt. Link zum US-CERT hinzugefügt.
Original Advisory:
Symantec:
http://securityresponse.symantec.com/avcenter/security/Content/2007.07.11a.html
iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=553
Andere Referenzen:
US-CERT VU#213697:
http://www.kb.cert.org/vuls/id/213697
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
2 Related Secunia Security Advisories
|
|
|
1. Symantec Backup Exec "Calendar Control" Mehrere Sicherheitslücken
|
|
2. Symantec Backup Exec Job Engine Denial of Service Sicherheitslücken
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
