Sale temps pour Computer Associates : après les failles dans eTrust Antivirus puis dans les agents BrightStor ARCserve, l’éditeur annonce avoir découvert une série de vulnérabilités au sein d’un composant commun à de nombreux produits au catalogue.Deux de ces failles permettraient l’exécution de code à distance sur les systèmes de l’entreprise. Les vulnérabilités concernent le composant CA Message Queuing (CAM / CAFT), que l’on retrouve notamment dans Unicenter, eTrust Admin, CleverPath et BrightStor Portal. Tous sont donc vulnérables, et cela quelle que soit la plateforme du produit (Windows, Mac, Linux, AS/400, la majorité des Unix commerciaux, etc… ).Les spécialistes ne s’entendent cependant pas complètement quant à la gravité de ces failles : pour le FrSIRT il s’agit d’une boulette critique tandis que Secunia l’estime tout juste « modérement critique ». Le point d’achoppement semble être de savoir si ces vulnérabilités ne peuvent être exploitées que depuis le réseau local (en raison de l’utilisation d’adresses non routables ou de protocoles spécifiques) ou aussi depuis Internet (dans le cas du portail CleverPath ou BrightStor ou des outils d’administration). Computer Associates, en tout cas, ne se mouille pas : l’alerte officielle ne parle que d’exploitation « à distance ».Ce n’est pas la première fois que les produits de l’éditeur sont victimes de vulnérabilités sérieuses. Récemment, le client BrightStor ARCserve pour Windows, l’antivirus eTrust et le client de gestion des licences des produits CA ont tous souffert de failles graves.Plus généralement, ce sont tous les éditeurs d’outils de sécurité qui sont désormais sous l’oeil des chercheurs de failles. De nombreux d’entre eux en ont fait les frais récemment : McAfee, Symantec (pour son antivirus ou ses outils de backup), Trend Micro, F-Secure et même l’antivirus libre ClamAV (utilisé dans de nombreuses appliances commerciales telles Watchguard Firebox).