S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 janvier 2009
N° CERTA-2009-AVI-022
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Sun Java System Access Manager

Gestion du document

Référence CERTA-2009-AVI-022
Titre Multiples vulnérabilités dans Sun Java System Access Manager
Date de la première version19 janvier 2009
Date de la dernière version19 janvier 2009
Source(s) Bulletins de sécurité Sun #249106 et #242166 du 12 janvier 2009

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Élévation de privilèges

Systèmes affectés

  • Sun Java System Access Manager versions 6.x ;
  • Sun Java System Access Manager versions 7.x.

Résumé

Deux vulnérabilités présentes dans Sun Java System Access Manager permettent à un utilisateur distant d'élever ses privilèges ou de porter atteinte à la confidentialité de certaines données.

Description

Deux vulnérabilités sont présentes dans Sun Java System Access Manager :

  • la première affectant uniquement les versions 7.x est de nature non-précisée par l'éditeur. Elle permet à un utilisateur de sous domaine (sub-realm) d'obtenir les privilèges de l'administrateur du domaine racine (root-realm) ;
  • la seconde touche les versions 6.x et 7.x et permet à un utilisateur distant d'obtenir les mots de passe d'utilisateurs arbitraires. Cette vulnérabilité nécessite d'avoir un accès à la console d'administration pour être exploitée.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 janvier 2009
    version initiale.