Vigil@nce - F5 BIG-IP : exécution de code via une applet Java
juillet 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer l’applet Java installée par les
produits F5 BIG-IP, afin de faire exécuter du code sur
l’ordinateur de la victime.
Produits concernés : BIG-IP Appliance
Gravité : 2/4
Date création : 16/07/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Certains produits BIG-IP installent une applet Java sur
l’ordinateur des utilisateurs. Cette applet permet de télécharger
des programmes depuis un site F5, de vérifier leur signature, et
de les exécuter.
Ces programmes sont normalement stockés dans le répertoire
temporaire (%TEMP%, /tmp). Cependant, en utilisant "../", un
attaquant peut forcer le programme à être stocké dans le
répertoire de démarrage. Le programme illicite sera alors exécuté
au prochain démarrage du système (sans vérification de la
signature).
Un attaquant peut donc employer l’applet Java installée par les
produits F5 BIG-IP, afin de faire exécuter du code sur
l’ordinateur de la victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/F5-BIG-IP-execution-de-code-via-une-applet-Java-13127