Risque

  • Contournement de la politique de sécurité ;
  • élévation de privilèges.

Systèmes affectés

Les versions antérieures des produits suivants :

  • JBoss EAP 5.0.1 ;
  • JBoss ESB 4.7 CPO02 ;
  • JBoss Rules 5.0.1 ;
  • JBoss jBPM 3.2.9 ;
  • Apache jUDDI 3.0.1 ;
  • PicketLink 1.0.

Résumé

De nombreuses corrections ont été apportées à JBoss Enterprise SOA, dont deux concernant des vulnérabilités permettant le contournant de la politique de sécurité et l'élévation de privilèges.

Description

De nombreuses corrections ont été apportées à JBoss Enterprise SOA, dont deux concernant des vulnérabilités associées aux CVE CVE-2010-2474 et CVE-2010-2493. Ces vulnérabilités permettent à une personne malintentionnée de contourner la politique de sécurité ou d'élever ses privilèges. Les correctifs portent sur les bogues suivants : JBESB-3280, JBESB-3290, JBESB-3296, JBESB-3301, JBESB-3337, JBESB-3345, JBESB-3347, JBPM-2828, JBESB-2442, JBESB-2911, JBESB-3028, JBESB-3035, JBESB-3038, JBESB-3257, JBESB-3263, JBESB-3282, JBESB-3288, JBESB-3300, JBESB-3317, JBESB-3326, JBESB-3346, JBESB-3349, JBIDE-5596, JBIDE-5597, JBPAPP-3002, JOPR-419, SOA-952, SOA-1077, SOA-1168, SOA-1445, SOA-1446, SOA-1549, SOA-1564, SOA-1600, SOA-1623, SOA-1673, SOA-1711, SOA-1867, SOA-1916, SOA-1970, SOA-1981, SOA-2007, SOA-2029, SOA-2034, SOA-2083, SOA-2084, SOA-2086, SOA-2099, SOA-2105, SOA-2114, SOA-2120.

Solution

Se référer à la note de changements de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation