Objet: Multiples vulnérabilités dans JBoss Operations Network

Risque

Contournement de la politique de sécurité.

Systèmes affectés

JBoss Operations Network versions 2.4.1 et inférieures.

Résumé

De multiples vulnérabilités ont été corrigées dans JBoss Operations Network.

Description

Une mise à jour de JBoss Operations Network corrige de multiples vulnérabilités. Les vulnérabilités associées à un numéro CVE sont les suivantes :

• CVE-2012-0052 et CVE-2012-0062 : ces vulnérabilités permettent à un utilisateur distant malintentionné de détourner la session d'un agent approuvé et de voler son jeton de sécurité. Ceci permettra à l'attaquant de récupérer des informations sensibles à propos du serveur sur lequel l'agent s'exécute ;
• CVE-2011-4858 : cette vulnérabilité permet à un attaquant d'effectuer un déni de service à distance sur le serveur JBoss Web ;
• CVE-2011-3206 : cette vulnérabilité concerne de multiples failles XSS dans l'interface d'administration de JBoss Operations Network ;
• CVE-2011-4573 : cette vulnérabilité concerne une vérification qui n'est pas effectuée correctement par JBoss Operations Network lorsqu'un utilisateur tente de supprimer une mise à jour de configuration de plugin (plug-in configuration update).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité RedHat RHSA-2012:0089 du 08 février 2012 :

  http://rhn.redhat.com/errata/RHSA-2012-0089.html
  

• Référence CVE CVE-2011-3206 :

  https://www.cve.org/CVERecord?id=CVE-2011-3206
  

• Référence CVE CVE-2011-4573 :

  https://www.cve.org/CVERecord?id=CVE-2011-4573
  

• Référence CVE CVE-2011-4858 :

  https://www.cve.org/CVERecord?id=CVE-2011-4858
  

• Référence CVE CVE-2012-0052 :

  https://www.cve.org/CVERecord?id=CVE-2012-0052
  

• Référence CVE CVE-2012-0062 :

  https://www.cve.org/CVERecord?id=CVE-2012-0062