Vulnérabilité sur les produits VPN NetScreen 5000

Gestion du document

Référence	CERTA-2004-AVI-068
Titre	Vulnérabilité sur les produits VPN NetScreen 5000
Date de la première version	05 mars 2004
Date de la dernière version	05 mars 2004
Source(s)	Avis de sécurité de NetScreen 58412
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Elévation de privilèges.

Systèmes affectés

NetScreen-SA IVE de la version 3.0 à la version 3.3.1 présent sur les produits VPN NetScreen 5000.

Résumé

Une vulnérabilité de type « cross site scripting » a été découverte sur l'interface d'administration des produits VPN NetScreen-SA séries 5000.

Description

Une vulnérabilité de type « cross site scripting » sur le script CGI delhomepage.cgi de l'interface d'administration des produits VPN NetScreen-SA séries 5000 permet à un utilisateur mal intentionné d'exécuter un script sur le poste client d'un utilisateur authentifié sur ce produit.

Solution

Un correctif est disponible sur le site de support de NetScreen (cf. section documentation) pour les sections suivantes :

3.2.1 Patch 1-S2
3.3-S1
3.3 Patch 1-S1
3.3.1-S1

Documentation

Avis de sécurité de NetScreen :

http://www.netscreen.com/services/security/alerts/ive_xss.txt

Correctifs de NetScreen :
```
https://support.neoteris.com
```
Note d'information sur les vulnérabilités de type Cross Site Scripting (CERTA-2002-INF-001) :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html
```

Avis du CERT-FR

Objet: Vulnérabilité sur les produits VPN NetScreen 5000