Risque
- Injection de code indirecte (cross site scripting)
Systèmes affectés
IBM HTTP Server.
Résumé
Deux vulnérabilités dans IBM HTTP Server permettent à un utilisateur malintentionné de réaliser de l'injection de code indirecte.
Description
Une première vulnérabilité est présente dans le module mod_imap. Un défaut de filtrage des données entrées permet à un utilisateur malintentionné de réaliser de l'injection de code indirecte.
Une deuxième vulnérabilité est présente dans le traitement de certaines erreurs HTTP (code HTTP 4xx). Un défaut de filtrage des données entrées permet à un utilisateur malintentionné de réaliser de l'injection de code indirecte.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- CVE-2007-5000 https://www.cve.org/CVERecord?id=CVE-2007-5000
- CVE-2007-6203 https://www.cve.org/CVERecord?id=CVE-2007-6203
- Bulletin de sécurité IBM swg1PK57952 du 20 décembre 2007 : http://www-1.ibm.com/support/docview.wss?uid=swg1PK57952
- Bulletin de sécurité IBM swg1PK58024 du 20 décembre 2007 : http://www-1.ibm.com/support/docview.wss?uid=swg1PK58024
- Référence CVE CVE-2007-5000 https://www.cve.org/CVERecord?id=CVE-2007-5000
- Référence CVE CVE-2007-6203 https://www.cve.org/CVERecord?id=CVE-2007-6203
