Vulnérabilités dans JBoss

Gestion du document

Référence	CERTA-2011-AVI-703
Titre	Vulnérabilités dans JBoss
Date de la première version	16 décembre 2011
Date de la dernière version	16 décembre 2011
Source(s)	Bulletin de sécurité RedHat RHSA-2011:1822 du 14 décembre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Contournement de la politique de sécurité ;
injection de code indirecte à distance.

Systèmes affectés

JBoss Enterprise Portal Platform, versions antérieures à la version 5.2.0.

Résumé

Plusieurs vulnérabilités affectent JBoss. Elles permettent de contourner la politique de sécurité du serveur ou de réaliser de l'injection de code indirecte (XSS).

Description

Plusieurs vulnérabilités affectent JBoss :

la page de connexion au serveur permet de rediriger l'utilisateur vers un site web quelconque ;
dans certaines configurations, l'authentification de l'utilisateur peut être contournée ;
de l'injection de code indirecte est possible dans plusieurs programmes de JBoss.

Solution

La version 5.2.0 de JBoss corrige ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité RedHat RHSA-2011:1822 du 14 décembre 2011 :
```
http://rhn.redhat.com/errata/RHSA-2011-1822.html
```

Référence CVE CVE-2011-2941 :

https://www.cve.org/CVERecord?id=CVE-2011-2941

Référence CVE CVE-2011-4085 :

https://www.cve.org/CVERecord?id=CVE-2011-4085

Référence CVE CVE-2011-4580 :

https://www.cve.org/CVERecord?id=CVE-2011-4580

Avis du CERT-FR

Objet: Vulnérabilités dans JBoss