Deux éditeurs de logiciels de sauvegarde de données sont montrés du doigt pour leur médiocre niveau de sécurité.
Le site de sécurité informatique iDefense pointe un doigt accusateur en direction de deux éditeurs de solutions de sauvegarde de données, dont les produits n’offriraient pas le meilleur niveau de sécurité.
EMC et son application NetWorker, par exemple, sont particulièrement mis en cause : trois bogues affecteraient ce programme, entraînant des dénis de service pour l’un d’entre eux, et, plus grave, une fuite de données pour les deux autres. EMC a d’ailleurs à ce sujet publié un bulletin d’alerte à destination de ses clients.
EMC est sur le point de corriger le tir pour la version 7.2.1 de NetWorker, tandis que les moutures 7.1.4 et 7.3 sont quant à elles protégées. iDefense dresse un tableau complet de la situation dans une de ces récentes publications.
La situation est moins favorable pour Veritas et son NetBackup. En début de semaine, la French Security Incident Response Team publiait une portion de code susceptible d’exploiter une vulnérabilité dans ce logiciel. Immédiatement, un autre site dédié à la sécurité informatique, le SANS Internet Storm Center, enregistrait une nette recrudescence des attaques sur le port TCP 13701, directement mis en cause par la FSIRT.
Il convient de rappeler que la faille qui affecte NetBackup de Veritas a été dévoilée en novembre dernier, toujours par iDefense ; elle consiste en un classique dépassement de mémoire tampon, notamment en raison de la mauvaise conception d’un des composants du programme. Symantec, qui s’est récemment porté acquéreur de Veritas, l’a d’ailleurs confirmé.
Des correctifs pour NetBackup (Client, Enterprise Server et Server) 5.0.0 et 5.1.0 sont disponibles sur le site de l’éditeur.
Le site de sécurité informatique iDefense pointe un doigt accusateur en direction de deux éditeurs de solutions de sauvegarde de données, dont les produits n’offriraient pas le meilleur niveau de sécurité.
EMC et son application NetWorker, par exemple, sont particulièrement mis en cause : trois bogues affecteraient ce programme, entraînant des dénis de service pour l’un d’entre eux, et, plus grave, une fuite de données pour les deux autres. EMC a d’ailleurs à ce sujet publié un bulletin d’alerte à destination de ses clients.
EMC est sur le point de corriger le tir pour la version 7.2.1 de NetWorker, tandis que les moutures 7.1.4 et 7.3 sont quant à elles protégées. iDefense dresse un tableau complet de la situation dans une de ces récentes publications.
La situation est moins favorable pour Veritas et son NetBackup. En début de semaine, la French Security Incident Response Team publiait une portion de code susceptible d’exploiter une vulnérabilité dans ce logiciel. Immédiatement, un autre site dédié à la sécurité informatique, le SANS Internet Storm Center, enregistrait une nette recrudescence des attaques sur le port TCP 13701, directement mis en cause par la FSIRT.
Il convient de rappeler que la faille qui affecte NetBackup de Veritas a été dévoilée en novembre dernier, toujours par iDefense ; elle consiste en un classique dépassement de mémoire tampon, notamment en raison de la mauvaise conception d’un des composants du programme. Symantec, qui s’est récemment porté acquéreur de Veritas, l’a d’ailleurs confirmé.
Des correctifs pour NetBackup (Client, Enterprise Server et Server) 5.0.0 et 5.1.0 sont disponibles sur le site de l’éditeur.
Source :
CNET News
