Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire à distance
Systèmes affectés
Sun Java System Web Server (Sun ONE, iPlanet), versions 6.x et 7.x.
Résumé
Une vulnérabilité de Sun Java System Web Server permet à un utilisateur malintentionné d'exécuter un code arbitraire à distance ou de lire des informations sensibles.
Description
Une erreur dans la fonction de redirection (redirect) permet à un utilisateur malveillant d'accéder à des données sensibles ou de réaliser de l'injection de code indirecte (XSS, cross site scripting). L'exploitation de cette erreur n'est possible que dans une combinaison particulière de certains paramètres du fichier obj.conf.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Sun #103003 du 04 août 2007 : http://sunsolve.sun.com/search/document.do?assetkey=1-26-103003-1