Vigil@nce : Sun Calendar Server, déni de service de la journalisation
juin 2008 par Vigil@nce
SYNTHÈSE
Lorsque la journalisation des accès est activée, un attaquant peut
stopper Sun Java System Calendar Server.
Gravité : 2/4
Conséquences : déni de service du service
Provenance : client intranet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : moyenne (2/3)
Date création : 18/06/2008
Référence : VIGILANCE-VUL-7901
PRODUITS CONCERNÉS
– Sun Java System Calendar Server [versions confidentielles]
– Sun ONE Calendar Server [versions confidentielles]
DESCRIPTION
L’option "service.http.commandlog.all" du fichier
cal/config/ics.conf journalise les requêtes HTTP. La documentation
indique que cette option ne doit pas être utilisée en production
(remplissage disque et ralentissement).
Lorsque cette option est activée, un attaquant peut envoyer une
requête HTTP spéciale afin de stopper Sun Java System Calendar
Server.
Les détails techniques ne sont pas connus.
CARACTÉRISTIQUES
Références : 235521, 6622866, BID-29763, VIGILANCE-VUL-7901