S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 décembre 2009
N° CERTA-2009-AVI-524
Affaire suivie par: CERT-FR
le 02 décembre 2009

Avis du CERT-FR

Objet: Vulnérabilités dans IBM WebSphere

Gestion du document

Référence CERTA-2009-AVI-524
Titre Vulnérabilités dans IBM WebSphere
Date de la première version 02 décembre 2009
Date de la dernière version 02 décembre 2009
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • injection de code indirecte.

Systèmes affectés

IBM WebSphere, versions 6.1.0.x.

Résumé

Plusieurs vulnérabilités affectent IBM WebSphere, permettant en particulier de réaliser de l'injection de code indirecte (XSS).

Description

Plusieurs vulnérabilités affectent IBM WebSphere:

  • les entrées faite au travers du People Picker Tag sont retournées à l'utilisateur sans avoir été correctement filtrées. Cette insuffisance est exploitable par un utilisateur malveillant pour réaliser de l'injection de code indirecte (XSS).
  • des messages d'erreur d'XMLAccess affichent des informations sensibles ;
  • un problème de sécurité dans l'utilitaire XMLAccess a un impact non précisé par l'éditeur.

Solution

La version 6.1.0.3 remédie à ces problèmes. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 02 décembre 2009
    version initiale.