Vigil@nce : CA SiteMinder, contournement
août 2009 par Vigil@nce
Un attaquant peut contourner la protection contre les Cross Site
Scriptings de CA SiteMinder.
Gravité : 2/4
Conséquences : transit de données
Provenance : client internet
Moyen d’attaque : 2 attaques
Compétence de l’attaquant : débutant (1/4)
Confiance : source unique (2/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 2
Date création : 12/08/2009
PRODUITS CONCERNÉS
– CA SiteMinder
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit CA SiteMinder contient une protection contre les Cross
Site Scriptings. Cette protection peut être contournée de deux
manières.
Un attaquant employer un caractère nul afin de tronquer l’analyse.
[grav:2/4 ; CVE-2009-2704]
Un attaquant employer un caractère Unicode non standard (trop
long) pour injecter des caractères filtrés (comme "<"). [grav:2/4 ;
CVE-2009-2705]
Un attaquant peut donc mettre en oeuvre un Cross Site Scriptings
sur un site protégé par CA SiteMinder.
CARACTÉRISTIQUES
Références : CVE-2009-2704, CVE-2009-2705, VIGILANCE-VUL-8945
http://vigilance.fr/vulnerabilite/CA-SiteMinder-contournement-8945