Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTA : Vulnérabilité de JBoss

décembre 2007 par CERT-FR

1 Risque

* Atteinte à l’intégrité des données ;
* atteinte à la confidentialité des données.

2 Systèmes affectés

JBoss Seam, versions 1.x.

3 Résumé

Une vulnérabilité dans JBoss Seam permet à un utilisateur malveillant de
manipuler indûment des données à distance.

4 Description

Le contenu de la variable order, paramètre d’entrée pour la méthode
getRenderedEjbql(), n’est pas suffisamment filtré. Cette insuffisance permet à
un utilisateur malveillant d’injecter des requêtes SQL. Ce dernier peut alors
porter atteinte à la confidentialité ou à l’intégrité des données de la base.

5 Solution

La version 2.0.0.GA résoud le problème. Se référer au bulletin de sécurité de
l’éditeur pour l’obtention des correctifs (cf. section Documentation).

6 Documentation

* Bulletin de changement de JBoss Seam :

http://sourceforge.net/project/shownotes.php?release_id=549490&group_id=22866

* Bulletin JBSEAM-2084 du 14 octobre 2007 :

http://jira.jboss.com/jira/browse/JBSEAM-2084


Voir les articles précédents

    

Voir les articles suivants