Risques
- Contournement de la politique de sécurité
- Injection de code indirecte à distance
Systèmes affectés
JBoss Enterprise Portal Platform, versions antérieures à la version 5.2.0.
Résumé
Plusieurs vulnérabilités affectent JBoss. Elles permettent de contourner la politique de sécurité du serveur ou de réaliser de l'injection de code indirecte (XSS).
Description
Plusieurs vulnérabilités affectent JBoss :
- la page de connexion au serveur permet de rediriger l'utilisateur vers un site web quelconque ;
- dans certaines configurations, l'authentification de l'utilisateur peut être contournée ;
- de l'injection de code indirecte est possible dans plusieurs programmes de JBoss.
Solution
La version 5.2.0 de JBoss corrige ces vulnérabilités.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité RedHat RHSA-2011:1822 du 14 décembre 2011 : http://rhn.redhat.com/errata/RHSA-2011-1822.html
- Référence CVE CVE-2011-2941 https://www.cve.org/CVERecord?id=CVE-2011-2941
- Référence CVE CVE-2011-4085 https://www.cve.org/CVERecord?id=CVE-2011-4085
- Référence CVE CVE-2011-4580 https://www.cve.org/CVERecord?id=CVE-2011-4580
