S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 décembre 2007
N° CERTA-2007-AVI-561
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de Websense Enterprise

Gestion du document

Référence CERTA-2007-AVI-561
Titre Vulnérabilité de Websense Enterprise
Date de la première version24 décembre 2007
Date de la dernière version24 décembre 2007
Source(s) Bulletin de sécurité Websense KB 976 du 12 décembre 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Websense Enterprise 5.5.
  • Websense Enterprise 6.3.1 ;

Résumé

Une vulnérabilité a été identifiée dans l'application Websense Enterprise. Le contenu de requêtes HTTP ne serait pas correctement filtré, ce qui permettrait à un utilisateur de contourner la politique de sécurité mise en place.

Description

Une vulnérabilité a été identifiée dans l'application Websense Enterprise. Le contenu de requêtes HTTP ne serait pas correctement filtré. Certains champs User-Agent bénéficient d'un traitement privilégié.

Un utilisateur local pourrait donc usurper l'un de ces champs, afin de contourner la politique de filtrage mise en place.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 24 décembre 2007
    version initiale.