Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
JBoss Enterprise Portal Platform 4.x.
Résumé
Plusieurs vulnérabilités permettant de contourner la politique de sécurité, d'exécuter du code arbitraire ou de réaliser un déni de service à distance ont été corrigées dans JBoss Enterprise Portal Platform.
Description
De multiples vulnérabilités ont été corrigées dans JBoss Enterprise Portal Platform. Ces vulnérabilités peuvent être exploitées pour :
- exécuter du code Java arbitraire à distance (CVE-2011-1484) ;
- provoquer un déni de service à distance (CVE-2011-4858) ;
- effectuer des rejeux de session (CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064) ;
- effectuer des requêtes non authentifiées (CVE-2011-4085) ;
- contourner les restrictions d'accès à certains fichiers (CVE-2011-2526).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité RedHat RHSA-2012:0091 du 02 février 2012 :
http://rhn.redhat.com/errata/RHSA-2012-0091.html
- Référence CVE-2011-1184 :
https://www.cve.org/CVERecord?id=CVE-2011-1184
- Référence CVE-2011-1484 :
https://www.cve.org/CVERecord?id=CVE-2011-1484
- Référence CVE-2011-2526 :
https://www.cve.org/CVERecord?id=CVE-2011-2526
- Référence CVE-2011-4085 :
https://www.cve.org/CVERecord?id=CVE-2011-4085
- Référence CVE-2011-4858 :
https://www.cve.org/CVERecord?id=CVE-2011-4858
- Référence CVE-2011-5062 :
https://www.cve.org/CVERecord?id=CVE-2011-5062
- Référence CVE-2011-5063 :
https://www.cve.org/CVERecord?id=CVE-2011-5063
- Référence CVE-2011-5064 :
https://www.cve.org/CVERecord?id=CVE-2011-5064