Multiples vulnérabilités dans Novell Identity Manager

Gestion du document

Référence	CERTA-2008-AVI-610
Titre	Multiples vulnérabilités dans Novell Identity Manager
Date de la première version	23 décembre 2008
Date de la dernière version	23 décembre 2008
Source(s)	Bulletins de mises à jour Novell du 17 décembre 2008
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Injection de code indirecte (XSS).

Systèmes affectés

Novell Identity Manager 3.x.

Résumé

Plusieurs vulnérabilités dans Novell Identity Manager permettent à une personne malveillante d'effectuer des attaques de type injection de code indirecte.

Description

Plusieurs vulnérabilités permettent à une personne malintentionnée d'effectuer des attaques de type injection de code indirecte (XSS) dans Novel Identity Manager :

une erreur dans le traitement des données transmises à Page Navigation permet une injection de code indirecte ;
une erreur dans le traitement des données transmises à UIQuery permet une injection de code indirecte.

Solution

Se référer aux bulletins de miseis à jour de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de mise à jour Novell 5040000 du 17 décembre 2008 :

http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040000.html

Bulletin de mise à jour Novell 5040020 du 17 décembre 2008 :

http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040020.html

Bulletin de mise à jour Novell 5040040 du 17 décembre 2008 :

http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040040.html

Bulletin de mise à jour Novell 5040041 du 17 décembre 2008 :

http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040041.html

Bulletin de mise à jour Novell 5040042 du 17 décembre 2008 :

http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040042.html

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Novell Identity Manager