Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- Sun Java System Access Manager 6 2005Q1 ;
- Sun Java System Access Manager 7 2005Q4 ;
- Sun Java System Access Manager 7.1 ;
- Sun Java System Identify Server 6.1 ;
- Sun Java System Identify Server 6.2.
Résumé
Une vulnérabilité dans Sun Java System Access Manager permet à un utilisateur distant d'exécuter du code arbitraire à distance.
Description
Une vulnérabilité est présente dans Sun Java System Access Manager. Celle-ci est relative à la gestion de signatures au format XML. Un utilisateur distant peut exploiter cette vulnérabilité au moyen d'une signature XML incluant une feuille de style XSLT particulière afin d'exécuter du code arbitraire dans le contexte de l'application vulnérable.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Sun Solaris #201538 du 26 juin 2008 :
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201538-1