Intégrateur et expert
en sécurité du système d’information

Alerte sécurité Symantec : mise à jour SEPM 12.1 RU4a

14 février 2014
Alerte sécurité Symantec : mise à jour SEPM 12.1 (...)

Le 13 février 2014, Symantec a publié une recommandation de sécurité qui identifiait une vulnérabilité affectant Symantec Endpoint Protection Manager (SEPM). Des mises à jour importantes sont disponibles.

Selon Symantec, aucun client n’a été affecté. Toutefois, une mise à jour importante est disponible à la fois pour la version 11.x et toutes les versions 12.1. Tous les clients doivent immédiatement mettre à jour leur solution SEPM via FileConnect.

Voici les vulnérabilités qui ont été détectées et corrigées dans Symantec Endpoint Protection Manager :
• XML External Entity Injection (XXE) avec utilisateur non authentifié (CVE-2013-5014) ;
• SQL injection avec utilisateur authentifié (CVE-2013-5015).

Les versions SEP 11 et SEP 12.1 sont impactées pour les versions inférieures à 11.0.7405.1424 et 12.1.4023.4080.

Nous recommandons de mettre à jour vos serveurs de gestion (SEPM) dans la dernière version SEP 12.1 RU4a pour corriger les vulnérabilités.
Cela concerne uniquement le serveur de gestion. Les postes clients ne sont pas impactés, donc pas de nouvel agent à déployer si vous êtres déjà en version 12.1 RU4.

Pour toutes précisions ou besoin d’accompagnement sur la mise à jour, n’hésitez pas à nous contacter.

En complément, voici les avantages de la version SEP 12 .1 RU4 :
http://saycurit.fr/actualite/article/les-nouveautes-de-symantec-endpoint-protection-12-1-ru4

Voici le détail des vulnérabilités identifiées :
Elles ont été identifiées dans Symantec Endpoint Protection Manager, qui peut être exploité par des personnes malveillantes pour récupérer des informations potentiellement sensibles (login/mot de passe administrateur), manipuler certaines données (injection SQL), et causer un DoS (Denial of Service).

La première vulnérabilité est due à une erreur lors de la manipulation des données XML. Cela pourrait être exploité par des données XML spécialement conçus, comme les références d’entités externes (vulnérabilité XXE) envoyées sur le port TCP 9090 ou 8443.
La seconde vulnérabilité permet, avec un accès à la console de gestion SEPM, des injections SQL sur la base de données qui pourraient compromettre l’application et le système.
Ces vulnérabilités peuvent être aussi exploitées à distance par Cross-Site Request Forgery (CSRF) via l’envoi d’un email ou la redirection sur un site Web.

Les 2 articles originaux de Symantec :
http://www.symantec.com/docs/TECH214866

http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20140213_00

Pour aller plus loin :
Les nouveautés de Symantec Endpoint Protection 12.1 RU3 : article

La protection avancée de vos serveurs et systèmes critiques : SCSP 5.2.9
Webcast n°2 : Protéger ses serveurs avec du cloisonnement applicatif (Février 2013)
Webcast n°1 : Protéger ses serveurs critiques avec Symantec Critical System Protection (Décembre 2012)

N’hésitez pas à contacter nos experts si vous souhaitez davantage d’informations.

Suivez-nous