S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 31 janvier 2012
N° CERTA-2012-AVI-042
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans JBoss

Gestion du document

Référence CERTA-2012-AVI-042
Titre Vulnérabilité dans JBoss
Date de la première version31 janvier 2012
Date de la dernière version31 janvier 2012
Source(s) Bulletin de sécurité redhat RHSA-2012:0035
Bulletin de sécurité redhat RHSA-2012:0036
Bulletin de sécurité redhat RHSA-2012:0037
Bulletin de sécurité redhat RHSA-2012:0038
Bulletin de sécurité redhat RHSA-2012:0039
Bulletin de sécurité redhat RHSA-2012:0040

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • JBoss Enterprise Application Platform 5 for RHEL 4 AS (mod_cluster-native) ;
  • JBoss Enterprise Application Platform 5 for RHEL 5 AS (mod_cluster-native) ;
  • JBoss Enterprise Application Platform 5 for RHEL 6 AS (mod_cluster-native) ;
  • JBoss Enterprise Application Platform 5.1 ;
  • JBoss Enterprise Web Platform 5 for RHEL 4 AS (mod_cluster-native) ;
  • JBoss Enterprise Web Platform 5 for RHEL 5 Server (mod_cluster-native) ;
  • JBoss Enterprise Web Platform 5 for RHEL 6 Server (mod_cluster-native) ;
  • JBoss Enterprise Web Platform 5.1.
  • JBoss Enterprise Web Server 1.0 ;
  • JBoss Enterprise Web Server 1.0 for RHEL 4 AS ;
  • JBoss Enterprise Web Server 1.0 for RHEL 5 Server ;
  • JBoss Enterprise Web Server 1.0 for RHEL 6 Server ;

Résumé

Une vulnérabilité dans le module mod_cluster de JBoss Enterprise Application Platform pour Red Hat Linux permet à un utilisateur malintentionné distant de contourner la politique de sécurité, voler des identifiants de session et d'élever ses privilèges.

Description

Le module mod_cluster de JBoss Enterprise Application Platform pour Red Hat Linux autorise les noeuds de travail à s'enregistrer auprès de n'importe quel hôte virtuel. Une personne malintentionnée peut alors forcer un enregistrement auprès d'un hôte virtuel externe qui ne met en place aucune restriction de sécurité et, ainsi, passer outre la politique de sécurité. L'attaquant peut alors voler des données sensibles comme des informations d'identification, afin d'élever ses privilèges, ou bien encore proposer du contenu malveillant à des utilisateurs légitimes.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 31 janvier 2012
    version initiale.