Avis du CERT-FR

Objet: Vulnérabilité dans DotNetNuke

Gestion du document

Référence	CERTA-2010-AVI-562
Titre	Vulnérabilité dans DotNetNuke
Date de la première version	23 novembre 2010
Date de la dernière version	23 novembre 2010
Source(s)	Bulletin de sécurité DotNetNuke du 17 aout 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Atteinte à la confidentialité des données.

Systèmes affectés

DotNetNuke 1.0

Résumé

Une vulnérabilité affectant DotNetNuke permet à un attaquant distant, sous certaines conditions, de porter atteinte à la confidentialité des données.

Description

Une vulnérabilité dans le gestionaire de journaux d'évènements de DotNetNuke peut entrainer l'affichage de messages d'erreur à l'écran. L'affichage de ces messages porte atteinte à la confidentialité des données en dévoilant notamment des noms de bases de données ou d'utilisateurs.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité DotNetNuke numéro 44 du 17 aout 2010 :

http://dotnetnuke.com/News/SecurityPolicy/securitybulletinno44/tabid/2035.Default.aspx

Gestion détaillée du document

le 23 novembre 2010: version initiale.