Objet: Vulnérabilité de Sun Java System Server et Sun ONE Server

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

• Sun Java System Web Server version 6.1 Service Pack 4 et les versions antérieures ;
• Sun Java System Application Server version 7 2004Q2 Standard Edition Update 2 et les versions antérieures ;
• Sun Java System Application Server version 7 2004Q2 Enterprise Edition Update 2 et les versions antérieures ;
• Sun ONE Web Server 6.0 Service Pack 9 et les versions antérieures ;
• Sun ONE Application Server 7 Platform Edition Update 6 et les versions antérieures ;
• Sun ONE Application Server 7 Standard Edition Update 6 et les versions antérieures.

Résumé

Une vulnérabilité a été identifiée dans certaines versions de Sun Java System Server et Sun ONE Server. Elle permet à un utilisateur malveillant utilisant une technique d'injection de code indirecte (ou Cross-Site Scripting) pour exécuter du code arbitraire à distance sur une machine se connectant au serveur.

Description

Une vulnérabilité a été identifiée dans certaines versions de Sun Java System Server et Sun ONE Server. Ceux-ci ne vérifient pas correctement certaines adresses réticulaires (ou URI pour Universal Resource Identifier) retournées dans une page d'erreur et contenant le caractère guillemet ". Un utilisateur malveillant peut utiliser cette vulnérabilité en injectant une URI spéciale dans un serveur. Ceci représente une attaque par injection de code arbitraire (ou Cross-Site Scripting) : du code arbitraire peut être exécuté sur la machine d'un utilisateur qui visite la page d'erreur sur le site où le serveur Sun fonctionne.

Solution

Se référer au bulletin de mise à jour de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de mise à jour Java System Web Server version 6.1 :

  http://www.sun.com/download/products.xml?id=434aec1d
  

• Bulletin de mise à jour Sun Java System Application Server version 7 2004Q2 Standard Edition :

  http://www.sun.com/download/products.xml?id=427fe06d
  

• Bulletin de mise à jour Sun Java System Application Server version 7 2004Q2 Enterprise Edition :

  http://javashoplm.sun.com
  

• Bulletin de mise à jour Sun ONE Web Server 6.0 :

  http://www.sun.com/download/products.xml?id=43a84f89
  

• Bulletin de mise à jour Sun ONE Application Server 7 Platform Edition :

  http://www.sun.com/download/products.xml?id=42ae3178
  

• Bulletin de mise à jour Sun ONE Application Server 7 Standard Edition :

  http://www.sun.com/download/products.xml?id=42ae317c