Avis du CERTA : Vulnérabilité dans les produits Computer Associates
décembre 2007 par CERT-FR
1 Risque
Contournement de la politique de sécurité.
2 Systèmes affectés
Tous les produits Computer Associates (sous Windows) qui incluent Ingres
version 2.5 ou 2.6.
3 Résumé
Une vulnérabilité dans Ingres permet de se connecter à la base de données sous
certaines conditions.
4 Description
Une vulnérabilité a été découverte dans Ingres version 2.5 ou 2.6. Cette
vulnérabilité permet de se connecter à la base de données après un premier
utilisateur légitime et de récupérer ses droits.
La base de données Ingres est incluse dans tous les produits Computer
Associates sous Windows.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation). L’application du correctif peut poser quelques
problèmes. Il est important de lire le bulletin de sécurité de Computer
Associates avant de mettre à jour.
6 Documentation
* Bulletin de sécurité Computer Associates du 19 décembre 2007 :
http://supportconnectw.ca.com/public/ingres/infodocs/ingresmswin-secnot.asp
* Référence CVE CVE-2007-6334 :