S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 décembre 2007
N° CERTA-2007-AVI-523
Affaire suivie par: CERT-FR
le 05 décembre 2007

Avis du CERT-FR

Objet: Vulnérabilité dans IBM Tivoli Netcool Security Manager

Gestion du document

Référence CERTA-2007-AVI-523
Titre Vulnérabilité dans IBM Tivoli Netcool Security Manager
Date de la première version 05 décembre 2007
Date de la dernière version 05 décembre 2007
Source(s) Note d'information d'IBM 24017633 du 30 novembre 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • IBM Tivoli Netcool Security Manager version 1.3

Résumé

Une vulnérabilité de type « injection de code indirecte », ou cross-site scripting, a été identifiée dans le produit IBM Tivoli Netcool Security Manager.

Description

Une vulnérabilité de type « injection de code indirecte », ou cross-site scripting, a été identifiée dans le produit IBM Tivoli Netcool Security Manager.

Celle-ci peut être exploitée par une personne malveillante distante pour exécuter du code sur le navigateur d'un utilisateur connecté au service. Ce code aura les mêmes droits contextuels que ceux accordés au site d'IBM Tivoli Netcool Security Manager. Il est par exemple possible dans ces conditions de dérober les fichiers de session (cookies) et lancer des actions sur l'application via le poste de l'utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Deux correctifs ont été successivement édités par IBM suite à cette vulnérabilité.

Documentation

Gestion détaillée du document

    le 05 décembre 2007
    version initiale.