Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Versions antérieures à RSA enVision 4.1 Patch 4.
Résumé
De multiples vulnérabilités ont été corrigées dans RSA enVision. L'exploitation de ces vulnérabilités pouvait conduire à une prise de contrôle du serveur à distance.
Description
Les correctifs concernent cinq vulnérabilités :
- la présence d'identifiants inscrits en dur dans le code ;
- plusieurs « injections SQL » ;
- un parcours arbitraire des répertoires ;
- une restriction inappropriée lors de nombreuses tentatives de connexion ;
- plusieurs injections de code dites XSS.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Référence EMC ESA-2012-014 : http://archives.neohapsis.com/archives/bugtraq/2012-03/att-0081/ESA-2012-014.txt
- Référence CVE CVE-2012-0399 https://www.cve.org/CVERecord?id=CVE-2012-0399
- Référence CVE CVE-2012-0400 https://www.cve.org/CVERecord?id=CVE-2012-0400
- Référence CVE CVE-2012-0401 https://www.cve.org/CVERecord?id=CVE-2012-0401
- Référence CVE CVE-2012-0402 https://www.cve.org/CVERecord?id=CVE-2012-0402
- Référence CVE CVE-2012-0403 https://www.cve.org/CVERecord?id=CVE-2012-0403