Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • AquaLogic Enterprise Security 2.0, jusqu'au Service Pack 2 ;
  • AquaLogic Enterprise Security 2.1, jusqu'au Service Pack 1 ;
  • AquaLogic Enterprise Security 2.2.
  • AquaLogic Service Bus 2.0, 2.1 et 2.5 ;

Description

BEA est une suite de produits pour gérer les services au sein d'un environnement hétérogène, ou SOA (pour Service-Oriented Architecture). Plusieurs vulnérabilités ont été identifiées :

  • le service proxy ne manipulerait pas correctement certaines requêtes, et permettrait donc de contourner la politique d'accès autorisée par BEA AquaLogic Service Bus ;
  • les utilisateurs ayant un compte désactivé mais non supprimé pourraient, sous certaines conditions, continuer à se connecter au serveur BEA AquaLogic Enterprise Security.

Ces vulnérabilités semblent nécessiter un serveur d'authentification Active Directory LDAP pour être exploitable.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation