Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
Systèmes affectés
- JBoss EAP 4.2, les versions antérieures à la 4.2.0.CP06 ;
- JBoss EAP 4.3, les versions antérieures à la 4.3.0.CP04.
Résumé
Un défaut du module JBossWS permettant de lire des fichiers arbitraires au formatXML a été corrigé.
Description
Dans le module JBossWS, un défaut lors du traitement des requêtes d'un fichier au format WSDL permet à un attaquant de lire des fichiers arbitraires au format XML, et cela au moyen d'une requête spécialement réalisée.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité RedHat RHSA-2009:0346 du 06 mars 2009 : http://rhn.redhat.com/errata/RHSA-2009-0346.html
- Bulletin de sécurité RedHat RHSA-2009:0347 du 06 mars 2009 : http://rhn.redhat.com/errata/RHSA-2009-0347.html
- Bulletin de sécurité RedHat RHSA-2009:0348 du 06 mars 2009 : http://rhn.redhat.com/errata/RHSA-2009-0348.html
- Bulletin de sécurité RedHat RHSA-2009:0349 du 06 mars 2009 : http://rhn.redhat.com/errata/RHSA-2009-0349.html
- Référence CVE CVE-2002-0027 https://www.cve.org/CVERecord?id=CVE-2002-0027
