S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 mars 2012
N° CERTA-2012-AVI-128
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Barracuda WAF

Gestion du document

Référence CERTA-2012-AVI-128
Titre Vulnérabilité dans Barracuda WAF
Date de la première version 09 mars 2012
Date de la dernière version 09 mars 2012
Source(s) Avis de sécurité Vulnerability-Lab du 07 mars 2012
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de code indirecte à distance

Systèmes affectés

Barracuda WAF 660 v7.6.0.028.

Résumé

Une vulnérabilité, permettant une injection de code indirecte à distance non persistante, a été corrigée dans Barracuda WAF.

Description

Cette vulnérabilité peut être utilisée par une personne malveillante à distance pour détourner les sessions. Cependant, cette attaque requiert une interaction avec l'utilisateur. Une exploitation réussie de cette vulnérabilité peut permettre d'obtenir ou de modifier le contexte de l'application de traitement du module pare-feu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 mars 2012
    version initiale.