S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 août 2008
N° CERTA-2008-AVI-395
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans IBM Rational ClearQuest

Gestion du document

Référence CERTA-2008-AVI-395
Titre Vulnérabilité dans IBM Rational ClearQuest
Date de la première version12 août 2008
Date de la dernière version12 août 2008
Source(s) Avis de sécurité IBM PK68332 du 30 juillet 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Les versions d'IBM Rational ClearQuest antérieures à 701.

Résumé

Une vulnérabilité de type « injection de code indirecte » (cross-site scripting) a été identifiée dans l'application IBM Rational ClearQuest.

Description

Une vulnérabilité de type « injection de code indirecte » (cross-site scripting) a été identifiée dans l'application IBM Rational ClearQuest. Elle concerne en particulier la page de connexion CQWeb qui ne filtre pas correctement les valeurs fournies au paramètre username.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 août 2008
    version initiale.