L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Jakarta Tag Library : injection d'entité XML externe

Synthèse de la vulnérabilité 

Un attaquant peut transmettre des données XML malveillantes à Jakarta Tag Library, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Logiciels vulnérables : Notes par IBM, Tivoli Workload Scheduler, WebSphere AS Traditional, openSUSE, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité de cette annonce : 2/4.
Date de création : 31/08/2015.
Références de cette vulnérabilité informatique : 1978495, 1989475, 1995377, 7014463, CVE-2015-0254, openSUSE-SU-2015:1751-1, RHSA-2015:1695-01, RHSA-2016:0121-01, RHSA-2016:0122-01, RHSA-2016:0123-01, RHSA-2016:0124-01, RHSA-2016:0125-01, RHSA-2016:1838-01, RHSA-2016:1839-01, RHSA-2016:1840-01, RHSA-2016:1841-01, SUSE-SU-2017:1568-1, SUSE-SU-2017:1701-1, USN-2551-1, VIGILANCE-VUL-17779.

Description de la vulnérabilité 

Les données XML peuvent contenir des entités externes (DTD) :
  <!ENTITY nom SYSTEM "fichier">
  <!ENTITY nom SYSTEM "http://serveur/fichier">
Un programme lisant ces données XML peut remplacer ces entités par les données provenant du fichier indiqué. Lorsque le programme utilise des données XML de provenance non sûre, ce comportement permet de :
 - lire le contenu de fichiers situés sur le serveur
 - scanner des sites web privés
 - mener un déni de service en ouvrant un fichier bloquant
Cette fonctionnalité doit donc être désactivée pour traiter des données XML de provenance non sûre.

Cependant, le parseur de Jakarta Tag Library autorise les entités externes.

Un attaquant peut donc transmettre des données XML malveillantes à Jakarta Tag Library, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin sécurité concerne les logiciels ou systèmes comme Notes par IBM, Tivoli Workload Scheduler, WebSphere AS Traditional, openSUSE, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS BI Server, SAS Enterprise Guide, SAS Grid Computing, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/INSIGHT, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis cyber-sécurité est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Un attaquant avec un niveau de compétence expert peut exploiter cette alerte de menace informatique.

Solutions pour cette menace 

IBM Lotus Notes : patch pour Jakarta Tag Library.
Un patch est disponible :
  Notes 9.0.1 Fix Pack 7 IF2, 9.0.1 Mac 64-bit IF7 : http://www-01.ibm.com/support/docview.wss?uid=swg21657963
  Notes 8.5.3 Fix Pack 6 IF13 : http://www-01.ibm.com/support/docview.wss?uid=swg21663874

IBM Tivoli Workload Scheduler : solution pour WebSphere AS.
La solution est indiquée dans les sources d'information.

IBM WebSphere Application Server : solution pour Jakarta Tag Library.
Les versions corrigées sont indiquées dans les sources d'information pour les branches 7.0.x, 8.0.x et 8.5.x.

IBM WebSphere Application Server : version 7.0.0.43.
La version 7.0.0.43 est corrigée.

JBoss Enterprise Application Platform : version 7.0.2.
La version 7.0.2 est corrigée :
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=7.0
  RHEL 6 : eap7-jboss-ec2-eap 7.0.2-2.GA_redhat_1.ep7.el6, eap7-wildfly 7.0.2-2.GA_redhat_1.1.ep7.el6
  RHEL 7 : eap7-jboss-ec2-eap 7.0.2-2.GA_redhat_1.ep7.el7, eap7-wildfly 7.0.2-2.GA_redhat_1.1.ep7.el7

openSUSE : nouveaux paquetages jakarta-taglibs-standard.
De nouveaux paquetages sont disponibles :
  openSUSE 13.1 : jakarta-taglibs-standard 1.1.1-252.3.1
  openSUSE 13.2 : jakarta-taglibs-standard 1.1.1-255.3.1

Red Hat JBoss Enterprise Application Platform : nouveaux paquetages.
De nouveaux paquetages sont disponibles, comme indiqué dans les sources d'informations.
  https://access.redhat.com/jbossnetwork/restricted/listSoftware.html?product=appplatform&downloadType=securityPatches&version=6.4

Red Hat JBoss Enterprise Application Platform : nouveaux paquetages jboss-ec2-eap.
De nouveaux paquetages sont disponibles :
  RHEL 6 : jboss-ec2-eap 7.5.6-1.Final_redhat_1.ep6.el6

RHEL : nouveaux paquetages jakarta-taglibs-standard.
De nouveaux paquetages sont disponibles :
  RHEL 6 : jakarta-taglibs-standard 1.1.1-11.7.el6_7
  RHEL 7 : jakarta-taglibs-standard 1.1.2-14.el7_1

SAS : Security Update 2020-08.
Un patch est disponible :
  https://tshf.sas.com/techsup/download/hotfix/HF2/SAS_Security_Updates.html

SUSE LE : nouveaux paquetages jakarta-taglibs-standard.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP4 : jakarta-taglibs-standard 1.1.1-234.31.1
  SUSE LE 12 SP2 : jakarta-taglibs-standard 1.1.1-255.2

Ubuntu : nouveaux paquetages libjakarta-taglibs-standard-java.
De nouveaux paquetages sont disponibles :
  Ubuntu 14.10 : libjakarta-taglibs-standard-java 1.1.2-2ubuntu1.14.10.1, libjstl1.1-java 1.1.2-2ubuntu1.14.10.1
  Ubuntu 14.04 LTS : libjakarta-taglibs-standard-java 1.1.2-2ubuntu1.14.04.1, libjstl1.1-java 1.1.2-2ubuntu1.14.04.1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de vulnérabilités de systèmes. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.