Risques
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
JBoss Enterprise Portal Platform 4.x.
Résumé
Plusieurs vulnérabilités permettant de contourner la politique de sécurité, d'exécuter du code arbitraire ou de réaliser un déni de service à distance ont été corrigées dans JBoss Enterprise Portal Platform.
Description
De multiples vulnérabilités ont été corrigées dans JBoss Enterprise Portal Platform. Ces vulnérabilités peuvent être exploitées pour :
- exécuter du code Java arbitraire à distance (CVE-2011-1484) ;
- provoquer un déni de service à distance (CVE-2011-4858) ;
- effectuer des rejeux de session (CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064) ;
- effectuer des requêtes non authentifiées (CVE-2011-4085) ;
- contourner les restrictions d'accès à certains fichiers (CVE-2011-2526).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité RedHat RHSA-2012:0091 du 02 février 2012 : http://rhn.redhat.com/errata/RHSA-2012-0091.html
- Référence CVE CVE-2011-1184 https://www.cve.org/CVERecord?id=CVE-2011-1184
- Référence CVE CVE-2011-1484 https://www.cve.org/CVERecord?id=CVE-2011-1484
- Référence CVE CVE-2011-2526 https://www.cve.org/CVERecord?id=CVE-2011-2526
- Référence CVE CVE-2011-4085 https://www.cve.org/CVERecord?id=CVE-2011-4085
- Référence CVE CVE-2011-4858 https://www.cve.org/CVERecord?id=CVE-2011-4858
- Référence CVE CVE-2011-5062 https://www.cve.org/CVERecord?id=CVE-2011-5062
- Référence CVE CVE-2011-5063 https://www.cve.org/CVERecord?id=CVE-2011-5063
- Référence CVE CVE-2011-5064 https://www.cve.org/CVERecord?id=CVE-2011-5064