SYNTHÈSE DE LA VULNÉRABILITÉ

Trois vulnérabilités de Sun Java System Calendar Server permettent
à un attaquant de mener deux Cross Site Scripting et un déni de
service.

Gravité : 2/4

Conséquences : accès/droits client, déni de service du service

Provenance : document

Moyen d’attaque : 3 attaques

Compétence de l’attaquant : débutant (1/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 3

Date création : 01/04/2009

PRODUITS CONCERNÉS

– Sun Java System Calendar Server
– Sun ONE Calendar Server

DESCRIPTION DE LA VULNÉRABILITÉ

Trois vulnérabilités ont été annoncées dans Sun Java System
Calendar Server.

Le paramètre "Fmt-out" de la page https://server:3443/login.wcap
n’est pas filtré avant d’être affiché, ce qui conduit à un Cross
Site Scripting. [grav:2/4 ; 256228, 6793984, BID-34152,
CVE-2009-1218]

Le paramètre "date" de la page https://server:3443/command.shtml
n’est pas filtré avant d’être affiché, ce qui conduit à un Cross
Site Scripting. [grav:2/4 ; 256228, 6793984, BID-34153,
CVE-2009-1218]

Lorsque l’attaquant emploie deux fois le paramètre "tzid", le
serveur web se stoppe. [grav:2/4 ; 255008, 6728790, BID-34150,
CVE-2009-1219]

CARACTÉRISTIQUES

Références : 255008, 256228, 6728790, 6793984, BID-34150,
BID-34152, BID-34153, CORE-2009-0108, CVE-2009-1218,
CVE-2009-1219, VIGILANCE-VUL-8581

http://vigilance.fr/vulnerabilite/Sun-Java-System-Calendar-trois-vulnerabilites-8581