Risques

  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire à distance

Systèmes affectés

Sun Java System Web Server (Sun ONE, iPlanet), versions 6.x et 7.x.

Résumé

Une vulnérabilité de Sun Java System Web Server permet à un utilisateur malintentionné d'exécuter un code arbitraire à distance ou de lire des informations sensibles.

Description

Une erreur dans la fonction de redirection (redirect) permet à un utilisateur malveillant d'accéder à des données sensibles ou de réaliser de l'injection de code indirecte (XSS, cross site scripting). L'exploitation de cette erreur n'est possible que dans une combinaison particulière de certains paramètres du fichier obj.conf.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation