S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 01 juillet 2004
N° CERTA-2004-AVI-214
Affaire suivie par: CERT-FR
le 01 juillet 2004

Avis du CERT-FR

Objet: Vulnérabilité sur Novell iChain

Gestion du document

Référence CERTA-2004-AVI-214
Titre Vulnérabilité sur Novell iChain
Date de la première version 01 juillet 2004
Date de la dernière version 01 juillet 2004
Source(s) Bulletin de sécurité de Novell 10090234
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Vol d'informations.

Systèmes affectés

Novell iChain versions 2.2.x antérieures à la version 2.2.113.

Description

Novell iChain est outil permettant la gestion des identités.

Une vulnérabilité de type « cross site scripting » sur Novell iChain permet à un utilisateur mal intentionné, via l'utilisation malicieuse du paramètre url, de créer un script permettant la récupération d'informations des utilisateurs qui se connectent au système vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Novell 10090234 :

http://support.novell.com/cgi-bin/search/searchtid.cgi?/10090234.htm

Gestion détaillée du document

    le 01 juillet 2004
    version initiale.