CERTA : Multiples vulnérabilités dans Sun Java System Identity Manager
janvier 2008 par CERT-FR
1 Risque
* Contournement de la politique de sécurité ;
* injection de code indirecte.
2 Systèmes affectés
* Sun Java System Identity Manager 6.0 ;
* Sun Java System Identity Manager 6.0 SP1 ;
* Sun Java System Identity Manager 6.0 SP2 ;
* Sun Java System Identity Manager 7.0 ;
* Sun Java System Identity Manager 7.1.
3 Résumé
De multiples vulnérabilités ont été découvertes dans Sun Java Identity Manager
et permettent un coutournement de la politique de sécurité via une injection de
code indirecte.
4 Description
De multiples vulnérabilités dans Sun Java Identity Manager permettent à un
individu malveillant :
* l’exécution de script en local ou à distance via une une vulnérabilité de
type injection de code indirecte (Cross Site Scripting) dans le navigateur
d’un utilisateur cliquant sur un lien vers Sun Java System Identity Manager
;
* l’injection de code HTML en local ou à distance dans le navigateur d’un
utilisateur cliquant sur un lien vers Sun Java System Identity Manager ;
* la redirection vers un site externe ou l’injection d’un cadre (frame)
contenant des données.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité Sun Solaris #103180 du 14 janvier 2008 :
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103180-1