Multiples vulnérabilités dans RSA enVision

Gestion du document

Référence	CERTA-2012-AVI-162
Titre	Multiples vulnérabilités dans RSA enVision
Date de la première version	21 mars 2012
Date de la dernière version	21 mars 2012
Source(s)	Bulletin de sécurité ESA-2012-014
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Versions antérieures à RSA enVision 4.1 Patch 4.

Résumé

De multiples vulnérabilités ont été corrigées dans RSA enVision. L'exploitation de ces vulnérabilités pouvait conduire à une prise de contrôle du serveur à distance.

Description

Les correctifs concernent cinq vulnérabilités :

la présence d'identifiants inscrits en dur dans le code ;
plusieurs « injections SQL » ;
un parcours arbitraire des répertoires ;
une restriction inappropriée lors de nombreuses tentatives de connexion ;
plusieurs injections de code dites XSS.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Référence EMC ESA-2012-014 :

http://archives.neohapsis.com/archives/bugtraq/2012-03/att-0081/ESA-2012-014.txt

Référence CVE CVE-2012-0399 :

https://www.cve.org/CVERecord?id=CVE-2012-0399

Référence CVE CVE-2012-0400 :

https://www.cve.org/CVERecord?id=CVE-2012-0400

Référence CVE CVE-2012-0401 :

https://www.cve.org/CVERecord?id=CVE-2012-0401

Référence CVE CVE-2012-0402 :

https://www.cve.org/CVERecord?id=CVE-2012-0402

Référence CVE CVE-2012-0403 :

https://www.cve.org/CVERecord?id=CVE-2012-0403

Avis du CERT-FR

Objet: Multiples vulnérabilités dans RSA enVision