L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Obtention des droits d'administration de Calendar Server

Synthèse de la vulnérabilité 

Un attaquant peut obtenir les droits d'administration de Calendar Server par l'intermédiaire de Sun Java System Portal Server.
Logiciels impactés : Solaris, Trusted Solaris, Sun Calendar.
Gravité de cette vulnérabilité informatique : 2/4.
Date de création : 23/07/2004.
Date de révision : 26/07/2004.
Références de cette annonce : BID-10788, CVE-2004-0742, Sun Alert 57586, Sun Alert ID 57586, Sun BugID 5014142, V6-SUNCALENDARPORTAL, VIGILANCE-VUL-4294, VU#881254.

Description de la vulnérabilité 

Le produit Sun Java System Portal Server permet de proposer un portail aux utilisateurs. Ce portail peut servir d'interface au produit Sun Java System Calendar Server de gestion des plannings et des ressources.

La fonctionnalité "administrator proxy authentication" permet aux utilisateurs de ne pas avoir à saisir de login et mot de passe pour accéder à Calendar Server par exemple.

Cependant, lorsque cette fonctionnalité est activée, un attaquant peut changer de vue et obtenir les droits de l'administrateur de Calendar Server.

Cette vulnérabilité permet alors à un attaquant d'administrer Calendar Server par l'intermédiaire de Portal Server.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce de vulnérabilité concerne les logiciels ou systèmes comme Solaris, Trusted Solaris, Sun Calendar.

Notre équipe Vigil@nce a déterminé que la gravité de cette annonce de faille est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de shell utilisateur.

Un attaquant avec un niveau de compétence expert peut exploiter cette annonce de faille informatique.

Solutions pour cette menace 

Solution pour Obtention des droits d'administration de Calendar Server.
Des patches sont disponibles :
  Sparc : 116856-10
  Intel : 117757-09
Une contre-mesure consiste à ne pas permettre aux utilisateurs d'éditer les propriétés du profil d'affichage pour les channels "calendar" ou "view" :
  http://docs.sun.com/source/816-6748-10/comm_config.html#wp34042
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une veille de vulnérabilités applicatives. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.