Avis du CERT-FR

Objet: Vulnérabilité dans IBM Rational ClearQuest

Gestion du document

Référence	CERTA-2008-AVI-395
Titre	Vulnérabilité dans IBM Rational ClearQuest
Date de la première version	12 août 2008
Date de la dernière version	12 août 2008
Source(s)	Avis de sécurité IBM PK68332 du 30 juillet 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

Les versions d'IBM Rational ClearQuest antérieures à 701.

Résumé

Une vulnérabilité de type « injection de code indirecte » (cross-site scripting) a été identifiée dans l'application IBM Rational ClearQuest.

Description

Une vulnérabilité de type « injection de code indirecte » (cross-site scripting) a été identifiée dans l'application IBM Rational ClearQuest. Elle concerne en particulier la page de connexion CQWeb qui ne filtre pas correctement les valeurs fournies au paramètre username.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site officiel de l'application IBM ClearQuest :

http://www-306.ibm.com/software/awdtools/clearquest/

Bulletin de sécurité IBM 1PK68332 du 30 juillet 2008 :

http://www-1.ibm.com/support/docview.wss?uid=swg1PK68332

Gestion détaillée du document

le 12 août 2008: version initiale.