Vulnérabilité dans JBoss

Gestion du document

Référence	CERTA-2011-AVI-401
Titre	Vulnérabilité dans JBoss
Date de la première version	20 juillet 2011
Date de la dernière version	20 juillet 2011
Source(s)	Bulletins de sécurité RedHat RHSA-2011:0945 à 0952 du 18 juillet 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

JBoss Group JBoss Seam 2.x.

Résumé

Une vulnérabilité dans JBoss permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

JBoss Seam 2 ne gère pas correctement l'accès au JBoss Expression Language dans les pages d'exception. Ce défaut est exploitable par un utilisateur malveillant pour exécuter des méthodes Java arbitraires au moyen d'une adresse réticulaire (URL) spécialement construite.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletins de sécurité RedHat RHSA-2011:0945 à RHSA-2011:0952 du 18 juillet 2011 :

http://rhn.redhat.com/errata/RHSA-2011-0945.html

http://rhn.redhat.com/errata/RHSA-2011-0946.html

http://rhn.redhat.com/errata/RHSA-2011-0947.html

http://rhn.redhat.com/errata/RHSA-2011-0948.html

http://rhn.redhat.com/errata/RHSA-2011-0949.html

http://rhn.redhat.com/errata/RHSA-2011-0950.html

http://rhn.redhat.com/errata/RHSA-2011-0951.html

http://rhn.redhat.com/errata/RHSA-2011-0952.html

Référence CVE CVE-2011-2196 :

https://www.cve.org/CVERecord?id=CVE-2011-2196

Avis du CERT-FR

Objet: Vulnérabilité dans JBoss