Vigil@nce : Sun Java System Calendar, trois vulnérabilités
avril 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Trois vulnérabilités de Sun Java System Calendar Server permettent
à un attaquant de mener deux Cross Site Scripting et un déni de
service.
Gravité : 2/4
Conséquences : accès/droits client, déni de service du service
Provenance : document
Moyen d’attaque : 3 attaques
Compétence de l’attaquant : débutant (1/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 3
Date création : 01/04/2009
PRODUITS CONCERNÉS
– Sun Java System Calendar Server
– Sun ONE Calendar Server
DESCRIPTION DE LA VULNÉRABILITÉ
Trois vulnérabilités ont été annoncées dans Sun Java System
Calendar Server.
Le paramètre "Fmt-out" de la page https://server:3443/login.wcap
n’est pas filtré avant d’être affiché, ce qui conduit à un Cross
Site Scripting. [grav:2/4 ; 256228, 6793984, BID-34152,
CVE-2009-1218]
Le paramètre "date" de la page https://server:3443/command.shtml
n’est pas filtré avant d’être affiché, ce qui conduit à un Cross
Site Scripting. [grav:2/4 ; 256228, 6793984, BID-34153,
CVE-2009-1218]
Lorsque l’attaquant emploie deux fois le paramètre "tzid", le
serveur web se stoppe. [grav:2/4 ; 255008, 6728790, BID-34150,
CVE-2009-1219]
CARACTÉRISTIQUES
Références : 255008, 256228, 6728790, 6793984, BID-34150,
BID-34152, BID-34153, CORE-2009-0108, CVE-2009-1218,
CVE-2009-1219, VIGILANCE-VUL-8581
http://vigilance.fr/vulnerabilite/Sun-Java-System-Calendar-trois-vulnerabilites-8581