L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de HPE Network Node Manager i

avis de vulnérabilité CVE-2012-3279

HP NNMi : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting sur le serveur web de HP Network Node Manager i, afin d'exécuter du code JavaScript dans le contexte du site.
Produits concernés : HPE NNMi.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 01/02/2013.
Références : BID-57663, c03652323, CERTA-2013-AVI-089, CVE-2012-3279, HPSBMU02842, SSRT100909, VIGILANCE-VUL-12364.

Description de la vulnérabilité

Le produit HP NNMi (Network Node Manager i) incorpore un serveur web.

Cependant, une page de ce serveur web ne filtre pas ses entrées, avant de les injecter dans un document HTML généré.

Un attaquant peut donc provoquer un Cross Site Scripting sur le serveur web de HP Network Node Manager i, afin d'exécuter du code JavaScript dans le contexte du site.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-3546

Apache Tomcat : contournement d'authentification via une manipulation d'URL

Synthèse de la vulnérabilité

Un attaquant soumis à authentification via un formulaire peut ajouter /j_security_check à l'URL, afin de contourner l'authentification.
Produits concernés : Tomcat, Debian, Fedora, HPE NNMi, HP-UX, openSUSE, Solaris, RHEL, JBoss EAP par Red Hat, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 05/12/2012.
Références : BID-56812, c03734195, c03824583, CERTA-2012-AVI-706, CERTA-2013-AVI-145, CERTA-2013-AVI-440, CERTFR-2014-AVI-112, CVE-2012-3546, DSA-2725-1, FEDORA-2012-20151, HPSBMU02894, HPSBUX02866, openSUSE-SU-2012:1700-1, openSUSE-SU-2012:1701-1, openSUSE-SU-2013:0147-1, RHSA-2013:0004-01, RHSA-2013:0005-01, RHSA-2013:0146-01, RHSA-2013:0147-01, RHSA-2013:0151-01, RHSA-2013:0157-01, RHSA-2013:0158-01, RHSA-2013:0162-01, RHSA-2013:0163-01, RHSA-2013:0164-01, RHSA-2013:0191-01, RHSA-2013:0192-01, RHSA-2013:0193-01, RHSA-2013:0194-01, RHSA-2013:0195-01, RHSA-2013:0196-01, RHSA-2013:0197-01, RHSA-2013:0198-01, RHSA-2013:0221-01, RHSA-2013:0235-01, RHSA-2013:0623-01, RHSA-2013:0640-01, RHSA-2013:0641-01, RHSA-2013:0642-01, SSRT101139, VIGILANCE-VUL-12208.

Description de la vulnérabilité

Le suffixe d'URL /j_security_check a une signification spéciale dans le processus d'authentification par formulaire.

Certains composants de Tomcat autres que celui de validation du mot de passe peuvent définir le compte utilisé pour les accès de l'utilisateur distant. Cependant, lorsque l'URL accédée a ce suffixe spécial, l'interaction de ces définitions avec l'autorisation d'accès inconditionnel aux pages d'erreurs et au formulaire d'authentification conduit à terminer prématurément la vérification des authentifiants.

Un attaquant soumis à authentification via un formulaire peut donc ajouter /j_security_check à l'URL, afin de contourner l'authentification.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2012-3267

HP NNMi : obtention d'information

Synthèse de la vulnérabilité

Produits concernés : HPE NNMi.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/10/2012.
Références : BID-55773, c03507708, CERTA-2012-AVI-547, CVE-2012-3267, HPSBMU02817, SSRT100950, VIGILANCE-VUL-11994.

Description de la vulnérabilité

Un attaquant peut employer une vulnérabilité de HP Network Node Manager i, afin d'obtenir des informations.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2012-2022

HP NNMi : Cross Site Scripting

Synthèse de la vulnérabilité

Produits concernés : HPE NNMi.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/08/2012.
Références : BID-54815, c03405705, CERTA-2012-AVI-423, CVE-2012-2022, HPSBMU02798, SSRT100908, VIGILANCE-VUL-11822.

Description de la vulnérabilité

Un attaquant peut provoquer plusieurs Cross Site Scripting dans HP Network Node Manager i, afin de faire exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2012-2018

HP NNMi : Cross Site Scripting

Synthèse de la vulnérabilité

Produits concernés : HPE NNMi.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/07/2012.
Références : BID-54261, c03343724, CERTA-2012-AVI-362, CVE-2012-2018, HPSBMU02783, SSRT100806, VIGILANCE-VUL-11734.

Description de la vulnérabilité

Un attaquant peut provoquer plusieurs Cross Site Scripting dans HP Network Node Manager i, afin de faire exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2011-4858

Tomcat, JBoss : déni de service via collision de hachés

Synthèse de la vulnérabilité

Un attaquant peut envoyer des données provoquant des collisions de stockage, afin de surcharger un service.
Produits concernés : Tomcat, Debian, Fedora, HPE NNMi, OpenView NNM, HP-UX, openSUSE, Solaris, RHEL, JBoss EAP par Red Hat, ESX, vCenter Server, VMware vSphere.
Gravité : 3/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 22/02/2012.
Références : BID-51200, c03183543, c03231290, c03824583, CERTA-2012-AVI-479, CERTA-2013-AVI-440, CVE-2011-4084-REJECT, CVE-2011-4858, DSA-2401-1, ESX400-201209001, ESX400-201209401-SG, ESX400-201209402-SG, ESX400-201209404-SG, ESX410-201208101-SG, ESX410-201208102-SG, ESX410-201208103-SG, ESX410-201208104-SG, ESX410-201208105-SG, ESX410-201208106-SG, ESX410-201208107-SG, FEDORA-2012-7258, FEDORA-2012-7593, HPSBMU02747, HPSBMU02894, HPSBUX02741, openSUSE-SU-2012:0103-1, RHSA-2012:0041-01, RHSA-2012:0074-01, RHSA-2012:0075-01, RHSA-2012:0076-01, RHSA-2012:0077-01, RHSA-2012:0078-01, RHSA-2012:0089-01, RHSA-2012:0091-01, RHSA-2012:0325-01, RHSA-2012:0406-01, RHSA-2012:0474-01, RHSA-2012:0475-01, RHSA-2012:0679-01, RHSA-2012:0680-01, RHSA-2012:0681-01, RHSA-2012:0682-01, SSRT100728, SSRT100771, VIGILANCE-VUL-11383, VMSA-2012-0003.1, VMSA-2012-0005.2, VMSA-2012-0005.3, VMSA-2012-0008.1, VMSA-2012-0013, VMSA-2012-0013.1.

Description de la vulnérabilité

Le bulletin VIGILANCE-VUL-11254 décrit une vulnérabilité qui permet de mener un déni de service sur de nombreuses applications.

Cette vulnérabilité affecte Tomcat.

Afin de simplifier VIGILANCE-VUL-11254, qui était devenu trop gros, les solutions concernant Tomcat ont été déplacées ici.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2011-3563 CVE-2011-3571 CVE-2011-5035

Java JRE/JDK : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Java JRE/JDK permettent à une applet/application illicite d'exécuter du code ou d'obtenir des informations. Une applet/application légitime, manipulant des données illicites, peut aussi être forcée à exécuter du code.
Produits concernés : Debian, Fedora, HPE NNMi, HP-UX, Tivoli System Automation, MES, Mandriva Linux, Windows (plateforme) ~ non exhaustif, Java OpenJDK, openSUSE, Java Oracle, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif, ESX, vCenter Server, VMware vSphere.
Gravité : 4/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/02/2012.
Références : BID-52009, BID-52010, BID-52011, BID-52012, BID-52013, BID-52014, BID-52015, BID-52016, BID-52017, BID-52018, BID-52019, BID-52020, BID-52161, c03254184, c03266681, c03316985, c03350339, c03358587, c03405642, CERTA-2012-AVI-085, CERTA-2012-AVI-286, CERTA-2012-AVI-395, CERTA-2012-AVI-479, CVE-2011-3563, CVE-2011-3571, CVE-2011-5035, CVE-2012-0497, CVE-2012-0498, CVE-2012-0499, CVE-2012-0500, CVE-2012-0501, CVE-2012-0502, CVE-2012-0503, CVE-2012-0504, CVE-2012-0505, CVE-2012-0506, CVE-2012-0507, CVE-2012-0508, DSA-2420-1, ESX410-201208101-SG, ESX410-201208102-SG, ESX410-201208103-SG, ESX410-201208104-SG, ESX410-201208105-SG, ESX410-201208106-SG, ESX410-201208107-SG, FEDORA-2012-1690, FEDORA-2012-1711, FEDORA-2012-1721, HPSBMU02797, HPSBMU02799, HPSBUX02757, HPSBUX02760, HPSBUX02777, HPSBUX02784, javacpufeb2012, MDVSA-2012:021, openSUSE-SU-2012:0309-1, PRE-SA-2012-01, RHSA-2012:0135-01, RHSA-2012:0139-01, RHSA-2012:0322-01, RHSA-2012:0508-01, RHSA-2012:0514-01, RHSA-2012:0702-01, RHSA-2012:1080-01, RHSA-2013:1455-01, RHSA-2013:1456-01, SSRT100779, SSRT100805, SSRT100854, SSRT100867, SSRT100871, SUSE-SU-2012:0308-1, SUSE-SU-2012:0602-1, SUSE-SU-2012:0603-1, SUSE-SU-2012:0734-1, SUSE-SU-2012:0881-1, SUSE-SU-2012:1013-1, swg21632667, swg21632668, swg21633991, swg21633992, TPTI-12-01, TSL20120214-01, VIGILANCE-VUL-11368, VMSA-2012-0005.2, VMSA-2012-0005.4, VMSA-2012-0013, VMSA-2012-0013.2, VMSA-2012-0018.1, VMSA-2013-0003, ZDI-12-032, ZDI-12-037, ZDI-12-038, ZDI-12-039, ZDI-12-045, ZDI-12-060, ZDI-12-081, ZDI-12-082, ZDI-12-083.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Java JRE/JDK. Les plus graves de ces vulnérabilités conduisent à l'exécution de code.

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-52009, CVE-2012-0497]

Un attaquant peut employer une vulnérabilité de 2D (readMabCurveData nTblSize), afin d'exécuter du code. [grav:4/4; BID-52019, CVE-2012-0498, ZDI-12-032, ZDI-12-060]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-52016, CVE-2012-0499]

Un attaquant peut inviter la victime à ouvrir un fichier JNLP illicite, afin de faire exécuter du code via Java Web Start Deployment. [grav:4/4; BID-52015, CVE-2012-0500, TSL20120214-01, ZDI-12-037, ZDI-12-039]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-52010, CVE-2012-0508, ZDI-12-038]

Un attaquant peut employer une vulnérabilité de Install, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-52020, CVE-2012-0504]

Un attaquant peut employer une vulnérabilité de Concurrency, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-52161, CVE-2011-3571, CVE-2012-0507]

Un attaquant peut employer une vulnérabilité de I18n, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-52018, CVE-2012-0503]

Un attaquant peut employer une vulnérabilité de Serialization, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-52017, CVE-2012-0505]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, ou de mener un déni de service. [grav:3/4; BID-52011, CVE-2012-0502]

Un attaquant peut employer une vulnérabilité de Sound, afin d'obtenir des informations, ou de mener un déni de service. [grav:3/4; BID-52012, CERTA-2012-AVI-085, CVE-2011-3563]

Un attaquant peut envoyer des données HTTP postées vers Lightweight HTTP Server provoquant des collisions de stockage, afin de surcharger un serveur web distant (VIGILANCE-VUL-11381). [grav:3/4; CVE-2011-5035]

Un attaquant peut employer une archive ZIP provoquant une boucle infinie dans le JRE. [grav:3/4; BID-52013, CVE-2012-0501, PRE-SA-2012-01]

Un attaquant peut employer une vulnérabilité de CORBA, afin d'altérer des informations. [grav:2/4; BID-52014, CVE-2012-0506]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2011-4155 CVE-2011-4156 CVE-2011-5184

HP NNMi : deux Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer deux Cross Site Scripting dans HP Network Node Manager i.
Produits concernés : HPE NNMi.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 10/11/2011.
Date révision : 24/11/2011.
Références : 0A29-11-1, BID-50635, BID-50806, c03035744, CERTA-2011-AVI-631, CVE-2011-4155, CVE-2011-4156, CVE-2011-5184, HPSBMU02708, SSRT100633, VIGILANCE-VUL-11151.

Description de la vulnérabilité

Un attaquant peut provoquer deux Cross Site Scripting dans HP Network Node Manager i.

Un attaquant peut exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CERTA-2011-AVI-631, CVE-2011-4155]

Un attaquant peut exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2011-4156]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2011-3389 CVE-2011-3516 CVE-2011-3521

Java JRE/JDK : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Java JRE/JDK permettent à une applet/application illicite d'exécuter du code ou d'obtenir des informations. Une applet/application légitime, manipulant des données illicites, peut aussi être forcée à exécuter du code.
Produits concernés : Debian, Fedora, HPE NNMi, HP-UX, MES, Mandriva Linux, Windows (plateforme) ~ non exhaustif, Java OpenJDK, openSUSE, Java Oracle, RHEL, SUSE Linux Enterprise Desktop, SLES, Unix (plateforme) ~ non exhaustif, ESX, vCenter Server, VirtualCenter.
Gravité : 4/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/10/2011.
Références : BID-49778, BID-50211, BID-50215, BID-50216, BID-50218, BID-50220, BID-50223, BID-50224, BID-50226, BID-50229, BID-50231, BID-50234, BID-50236, BID-50237, BID-50239, BID-50242, BID-50243, BID-50246, BID-50248, BID-50250, c03122753, c03266681, c03316985, c03358587, c03405642, CERTA-2011-AVI-541, CERTA-2011-AVI-580, CERTA-2011-AVI-675, CERTA-2012-AVI-012, CERTA-2012-AVI-045, CERTA-2012-AVI-190, CERTA-2012-AVI-238, CERTA-2012-AVI-286, CERTA-2012-AVI-395, CVE-2011-3389, CVE-2011-3516, CVE-2011-3521, CVE-2011-3544, CVE-2011-3545, CVE-2011-3546, CVE-2011-3547, CVE-2011-3548, CVE-2011-3549, CVE-2011-3550, CVE-2011-3551, CVE-2011-3552, CVE-2011-3553, CVE-2011-3554, CVE-2011-3555, CVE-2011-3556, CVE-2011-3557, CVE-2011-3558, CVE-2011-3560, CVE-2011-3561, DSA-2356-1, DSA-2358-1, ESX400-201209001, ESX400-201209401-SG, ESX400-201209402-SG, ESX400-201209404-SG, FEDORA-2011-14638, FEDORA-2011-14648, FEDORA-2011-15555, HPSBMU02797, HPSBMU02799, HPSBUX02730, HPSBUX02760, HPSBUX02777, javacpuoct2011, MDVSA-2011:170, openSUSE-SU-2011:1196-1, RHSA-2011:1380-01, RHSA-2011:1384-01, RHSA-2011:1478-01, RHSA-2012:0006-01, RHSA-2012:0034-01, RHSA-2012:0343-01, RHSA-2013:1455-01, RHSA-2013:1456-01, SSRT100710, SSRT100805, SSRT100854, SSRT100867, SUSE-SU-2011:1298-1, SUSE-SU-2012:0114-1, SUSE-SU-2012:0114-2, SUSE-SU-2012:0122-1, SUSE-SU-2012:0122-2, VIGILANCE-VUL-11072, VMSA-2012-0003, VMSA-2012-0003.1, VMSA-2012-0005.3, VMSA-2012-0008.1, VMSA-2012-0013.1, VU#864643, ZDI-11-305, ZDI-11-306, ZDI-11-307.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Java JRE/JDK. Les plus graves de ces vulnérabilités conduisent à l'exécution de code.

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50211, CVE-2011-3548]

Un attaquant peut employer une vulnérabilité de Java IIOP Deserialization, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50215, CVE-2011-3521, ZDI-11-306]

Un attaquant peut employer une vulnérabilité du Java Runtime Environment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50216, CVE-2011-3554]

Un attaquant peut employer une vulnérabilité de Rhino Javascript, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50218, CVE-2011-3544, ZDI-11-305]

Un attaquant peut employer une vulnérabilité de Sound MixerSequencer.nAddControllerEventCallback, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50220, CVE-2011-3545, ZDI-11-307]

Un attaquant peut employer une vulnérabilité de Swing, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50223, CVE-2011-3549]

Un attaquant peut employer une vulnérabilité de 2D, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50224, CVE-2011-3551]

Un attaquant peut employer une vulnérabilité de AWT, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50226, CVE-2011-3550]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:4/4; BID-50229, CVE-2011-3516]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-50231, CVE-2011-3556]

Un attaquant peut employer une vulnérabilité de RMI, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-50234, CVE-2011-3557]

Un attaquant peut employer une vulnérabilité de JSSE, afin d'obtenir ou d'altérer des informations. [grav:3/4; BID-50236, CVE-2011-3560]

Un attaquant peut employer une vulnérabilité du Java Runtime Environment, afin d'altérer des informations, ou de mener un déni de service. [grav:3/4; BID-50237, CVE-2011-3555]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir ou d'altérer des informations. [grav:3/4; BID-50239, CVE-2011-3546]

Un attaquant peut employer une vulnérabilité de HotSpot, afin d'obtenir des informations. [grav:2/4; BID-50242, CVE-2011-3558]

Un attaquant peut employer une vulnérabilité de Networking, afin d'obtenir des informations. [grav:2/4; BID-50243, CERTA-2012-AVI-238, CVE-2011-3547]

Un attaquant, qui peut contrôler les connexions HTTPS du navigateur web de la victime et qui dispose de bande passante suffisante, peut employer de nombreuses sessions SSL afin de calculer les entêtes HTTP, comme les cookies (VIGILANCE-VUL-11014). [grav:1/4; BID-49778, CERTA-2011-AVI-541, CERTA-2011-AVI-580, CERTA-2011-AVI-675, CERTA-2012-AVI-012, CERTA-2012-AVI-045, CERTA-2012-AVI-190, CVE-2011-3389, VU#864643]

Un attaquant peut employer une vulnérabilité de JAXWS, afin d'obtenir des informations. [grav:2/4; BID-50246, CVE-2011-3553]

Un attaquant peut ouvrir de nombreux ports UDP, afin de faciliter l'empoisonnement du cache DNS (VIGILANCE-VUL-11087). [grav:1/4; BID-50248, CVE-2011-3552]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations. [grav:1/4; BID-50250, CVE-2011-3561]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2011-1483

JBoss : déni de service via récursivité DTD

Synthèse de la vulnérabilité

Un attaquant peut envoyer des données XML spéciales, afin de provoquer un déni de service lors de leur analyse par JBoss Web Services Native.
Produits concernés : HPE NNMi, RHEL, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/09/2011.
Références : 692584, BID-49654, c03824583, CERTA-2011-AVI-521, CERTA-2013-AVI-440, CVE-2011-1483, HPSBMU02894, RHSA-2011:1301-01, RHSA-2011:1302-01, RHSA-2011:1303-01, RHSA-2011:1304-01, RHSA-2011:1305-01, RHSA-2011:1306-01, RHSA-2011:1307-01, RHSA-2011:1308-01, RHSA-2011:1309-01, RHSA-2011:1310-01, RHSA-2011:1311-01, RHSA-2011:1312-01, RHSA-2011:1313-01, VIGILANCE-VUL-11000.

Description de la vulnérabilité

Un utilisateur peut employer une requête HTTP POST, afin de transmettre des données XML au service JBoss.

Un fichier XML peut contenir des caractères spéciaux représentés sous forme d'entités, comme "&abc;". Ces entités sont définies dans un DTD (Document Type Definitions).

Un attaquant peut créer une entité appelant de nombreuses autres entités. JBoss ne limite pas le nombre de remplacements, ce qui provoque un appel récursif très profond.

Un attaquant peut donc envoyer des données XML spéciales, afin de provoquer un déni de service lors de leur analyse par JBoss Web Services Native.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur HPE Network Node Manager i :