Risque
- Contournement de la politique de sécurité
Systèmes affectés
- BrightStor Portal r11.1 ;
- CleverPath Aion BPM r10 ;
- CleverPath Aion BPM r10.1 ;
- CleverPath Aion BPM r10.2 ;
- CleverPath Portal r4.51 ;
- CleverPath Portal r4.7 ;
- CleverPath Portal r4.71 ;
- eTrust Security Command Center r1 ;
- eTrust Security Command Center r8 ;
- Unicenter Asset and Portfolio Management r11 ;
- Unicenter Database Command Center r11.1 ;
- Unicenter Database Management Portal r11 ;
- Unicenter Enterprise Job Manager r1 SP3 ;
- Unicenter Management Portal r11.0.
- Unicenter Management Portal r2.0 ;
- Unicenter Management Portal r3.1 ;
- Unicenter Workload Control Center r1 SP4 ;
Description
Une vulnérabilité a été découverte dans Computer Associates CleverPath Portal lorsqu'il est déployé dans un environnement multi-serveur. Un utilisateur s'authentifiant auprès d'un des portails peut récupérer la session d'un utilisateur connecté à un autre portail sur la même machine.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Computer Associates du 19 décembre 2006 : http://supportconnectw.ca.com/public/ca_common_docs/cpportal_secnot.asp
- Référence CVE CVE-2006-6641 https://www.cve.org/CVERecord?id=CVE-2006-6641