Risque
- Contournement de la politique de sécurité ;
- injection de code indirecte à distance.
Systèmes affectés
Red Hat Certificate System v8.
Résumé
Des vulnérabilités ont été corrigées dans Red Hat Certificate System v8.
Une première vulnérabilité permet à un attaquant d'effectuer de l'injection de code indirecte à distance (XSS) contre une victime utilisant l'interface Web de Certificate System. Une seconde vulnérabilité concerne des requêtes de révocation de certificat, effectuées via l'interface Web, qui ne sont pas correctement vérifiées.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité RedHat RHSA-2012:1103 du 19 juillet 2012 :
http://rhn.redhat.com/errata/RHSA-2012-1103.html
- Référence CVE CVE-2012-2662 :
https://www.cve.org/CVERecord?id=CVE-2012-2662
- Référence CVE CVE-2012-3367 :
https://www.cve.org/CVERecord?id=CVE-2012-3367