1 Risque

Injection de code indirecte (cross site scripting).

2 Systèmes affectés

IBM HTTP Server.

3 Résumé

Deux vulnérabilités dans IBM HTTP Server permettent à un utilisateur
malintentionné de réaliser de l’injection de code indirecte.

4 Description

Une première vulnérabilité est présente dans le module mod_imap. Un défaut de
filtrage des données entrées permet à un utilisateur malintentionné de réaliser
de l’injection de code indirecte.

Une deuxième vulnérabilité est présente dans le traitement de certaines erreurs
HTTP (code HTTP 4xx). Un défaut de filtrage des données entrées permet à un
utilisateur malintentionné de réaliser de l’injection de code indirecte.

5 Solution

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).

6 Documentation

* Bulletin de sécurité IBM swg1PK57952 du 20 décembre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=swg1PK57952

* Bulletin de sécurité IBM swg1PK58024 du 20 décembre 2007 :

http://www-1.ibm.com/support/docview.wss?uid=swg1PK58024

* Référence CVE CVE-2007-5000 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5000

* Référence CVE CVE-2007-6203 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6203