Vulnérabilités de BEA AquaLogic

Gestion du document

Référence	CERTA-2007-AVI-037-001
Titre	Vulnérabilités de BEA AquaLogic
Date de la première version	18 janvier 2007
Date de la dernière version	23 janvier 2007
Source(s)	Mises à jour BEA du 16 janvier 2007
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité ;
atteinte à l'intégrité des données ;
atteinte à la confidentialité des données.

Systèmes affectés

AquaLogic Service Bus 2.0, 2.1 et 2.5 ;
AquaLogic Enterprise Security 2.0, jusqu'au Service Pack 2 ;
AquaLogic Enterprise Security 2.1, jusqu'au Service Pack 1 ;
AquaLogic Enterprise Security 2.2.

Description

BEA est une suite de produits pour gérer les services au sein d'un environnement hétérogène, ou SOA (pour Service-Oriented Architecture). Plusieurs vulnérabilités ont été identifiées :

le service proxy ne manipulerait pas correctement certaines requêtes, et permettrait donc de contourner la politique d'accès autorisée par BEA AquaLogic Service Bus ;
les utilisateurs ayant un compte désactivé mais non supprimé pourraient, sous certaines conditions, continuer à se connecter au serveur BEA AquaLogic Enterprise Security.

Ces vulnérabilités semblent nécessiter un serveur d'authentification Active Directory LDAP pour être exploitable.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Avis de sécurité BEA dev2dev :

http://dev2dev.bea.com/advisoriesnotifications/index.html

Référence CVE CVE-2007-0432 :

https://www.cve.org/CVERecord?id=CVE-2007-0432

Référence CVE CVE-2007-0433 :

https://www.cve.org/CVERecord?id=CVE-2007-0433

Référence CVE CVE-2007-0434 :

https://www.cve.org/CVERecord?id=CVE-2007-0434

Gestion détaillée du document

le 18 janvier 2007: version initiale.

le 23 janvier 2007: ajout des références CVE.

Avis du CERT-FR

Objet: Vulnérabilités de BEA AquaLogic