Denegación de servicio y ejecución de código en CA BrightStor ARCserve Backup

rightStor ARCserve Backup de Computer Associates, es una completa suite de respaldo y recuperación de datos muy usada en el mundo empresarial. Funciona bajo multitud de plataformas y permite el respaldo en varios sistemas distintos: cintas, discos duros remotos...

El primer fallo se debe a una corrupción de memoria en el Tape Engine a la hora de procesar ciertos argumentos de procedimientos RPC. Esto puede ser aprovechado para ejecutar código arbitrario de forma remota.

La segunda vulnerabilidad se debe a la presencia de una función RPC que cuando es llamada, deshabilita la interfaz del Tape Engine. Esto puede ser aprovechado por atacantes para hacer que la funcionalidad deje de responder (denegación de servicio).

Los productos afectados son:
CA BrightStor ARCserve Backup r11.5
CA BrightStor ARCserve Backup r11.1
CA BrightStor ARCserve Backup r11 para Windows
CA BrightStor Enterprise Backup r10.5
CA BrightStor ARCserve Backup v9.01
CA Server Protection Suite r2
CA Business Protection Suite r2
CA Business Protection Suite for Microsoft Small Business Server
Standard Edition r2
CA Business Protection Suite for Microsoft Small Business Server Premium
Edition r2

Según versión y plataforma, se recomienda actualizar desde:
CA BrightStor ARCserve Backup r11.5 - Instalar QO86255 :
supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO86255

CA BrightStor ARCserve Backup r11.1 - Instalar QO86258 :
supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO86258

CA BrightStor ARCserve Backup r11.0 - Instalar QI82917 :
supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QI82917

CA BrightStor Enterprise Backup r10.5 - Instalar QO86259 :
supportconnect.ca.com/sc/redir.jsp?reqPage=search&searchID=QO86259