Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTA : Vulnérabilité de JBoss

décembre 2007 par CERTA

1 Risque

* Atteinte à l’intégrité des données ;
* atteinte à la confidentialité des données.

2 Systèmes affectés

JBoss Seam, versions 1.x.

3 Résumé

Une vulnérabilité dans JBoss Seam permet à un utilisateur malveillant de manipuler indûment des données à distance.

4 Description

Le contenu de la variable order, paramètre d’entrée pour la méthode getRenderedEjbql(), n’est pas suffisamment filtré. Cette insuffisance permet à un utilisateur malveillant d’injecter des requêtes SQL. Ce dernier peut alors porter atteinte à la confidentialité ou à l’intégrité des données de la base.

5 Solution

La version 2.0.0.GA résoud le problème. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

6 Documentation

* Bulletin de changement de JBoss Seam :

http://sourceforge.net/project/shownotes.php?release_id=549490&group_id=22866

* Bulletin JBSEAM-2084 du 14 octobre 2007 :

http://jira.jboss.com/jira/browse/JBSEAM-2084




Voir les articles précédents

    

Voir les articles suivants