S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 01 février 2007
N° CERTA-2007-AVI-063
Affaire suivie par: CERT-FR
le 01 février 2007

Avis du CERT-FR

Objet: Vulnérabilité sur Sun Java System Access Manager

Gestion du document

Référence CERTA-2007-AVI-063
Titre Vulnérabilité sur Sun Java System Access Manager
Date de la première version 01 février 2007
Date de la dernière version 01 février 2007
Source(s) Bulletin de sécurité de Sun
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Attaque de type cross-site scripting.

Systèmes affectés

  • Sun Java Access Manager 6.1 ;
  • Sun Java Access Manager 6.2 sans le patch 115766-13 ;
  • Sun Java Access Manager 6 2005G1 (6.3) sans le patch 119465-09 ;
  • Sun Java Access Manager 7 2005Q4 (7.0) sans le patch 120954-04.

Résumé

Une vulnérabilité sur Sun Java Access Manager permettrait à une personne malintentionnée d'effectuer une attaque de type cross-site scripting.

Description

Une vulnérabilité sur Sun Java Access Manager permettrait à une personne malintentionnée d'effectuer une attaque de type cross-site scripting.

En effet, certaines entrées non spécifiées ne sont pas correctement controlées, ce qui permettrait à un attaquant de faire exécuter du code malicieux dans le navigateur d'un utilisateur visitant la page concernée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation) pour les versions 6.2 à 7.0. Un correctif pour la version 6.1 devrait être disponible rapidment.

Documentation

Gestion détaillée du document

    le 01 février 2007
    version initiale.