L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de JBoss AS OpenSource

vulnérabilité informatique CVE-2016-0793

WildFly : lecture de fichier WEB-INF/META-INF

Synthèse de la vulnérabilité

Un attaquant peut lire un fichier WEB-INF/META-INF de WildFly, afin d'obtenir des informations sensibles.
Produits concernés : Brocade Network Advisor, Unisphere EMC, JBoss AS OpenSource, WildFly.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/04/2016.
Références : 1305937, 499009, BSA-2017-314, CVE-2016-0793, ESA-2017-056, VIGILANCE-VUL-19295.

Description de la vulnérabilité

Le produit WildFly dispose d'un filtre pour empêcher la lecture des fichiers WEB-INF/META-INF.

Cependant, sous Windows, un attaquant peut utiliser des caractères en minuscules, pour contourner les restrictions d'accès aux fichiers de WEB-INF/META-INF.

Un attaquant peut donc lire un fichier WEB-INF/META-INF de WildFly, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2015-4852 CVE-2015-6420 CVE-2015-6934

Apache Commons Collections : exécution de code via InvokerTransformer

Synthèse de la vulnérabilité

Un attaquant peut envoyer un objet Gadget Chain sérialisé malveillant vers une application Java utilisant Apache Commons Collections, afin d'exécuter du code shell.
Produits concernés : CAS Server, Blue Coat CAS, SGOS par Blue Coat, Brocade Network Advisor, Brocade vTM, ASA, AsyncOS, Cisco ESA, Cisco Prime Access Registrar, Prime Infrastructure, Cisco Prime LMS, Cisco PRSM, Secure ACS, Cisco CUCM, Cisco Unified CCX, Cisco MeetingPlace, Cisco Unity ~ précis, Debian, BIG-IP Hardware, TMOS, HPE BSM, HPE NNMi, HP Operations, DB2 UDB, Domino, Notes, IRAD, QRadar SIEM, SPSS Modeler, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere AS Traditional, JBoss AS OpenSource, Junos Space, ePO, Mule ESB, Snap Creator Framework, SnapManager, NetIQ Sentinel, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, Oracle Virtual Directory, WebLogic, Oracle Web Tier, RHEL, JBoss EAP par Red Hat, SAS Add-in for Microsoft Office, SAS Analytics Pro, Base SAS Software, SAS Enterprise BI Server, SAS Enterprise Guide, SAS Grid Manager, SAS Management Console, SAS OLAP Server, SAS SAS/ACCESS, SAS SAS/AF, SAS SAS/CONNECT, SAS SAS/EIS, SAS SAS/ETS, SAS SAS/FSP, SAS SAS/GRAPH, SAS SAS/IML, SAS SAS/OR, SAS SAS/STAT, SAS SAS/Web Report Studio, Unix (plateforme) ~ non exhaustif, vCenter Server.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/11/2015.
Références : 1610582, 1970575, 1971370, 1971531, 1971533, 1971751, 1972261, 1972373, 1972565, 1972794, 1972839, 2011281, 7014463, 7022958, 9010052, BSA-2016-004, bulletinjul2016, c04953244, c05050545, c05206507, c05325823, c05327447, CERTFR-2015-AVI-484, CERTFR-2015-AVI-555, cisco-sa-20151209-java-deserialization, COLLECTIONS-580, cpuapr2017, cpuapr2018, cpujan2017, cpujan2018, cpujul2017, cpuoct2016, cpuoct2017, cpuoct2018, CVE-2015-4852, CVE-2015-6420, CVE-2015-6934, CVE-2015-7420-ERROR, CVE-2015-7450, CVE-2015-7501, CVE-2015-8545, CVE-2015-8765, CVE-2016-1985, CVE-2016-1997, CVE-2016-4373, CVE-2016-4398, DSA-3403-1, HPSBGN03542, HPSBGN03560, HPSBGN03630, HPSBGN03656, HPSBGN03670, JSA10838, NTAP-20151123-0001, RHSA-2015:2500-01, RHSA-2015:2501-01, RHSA-2015:2502-01, RHSA-2015:2516-01, RHSA-2015:2517-01, RHSA-2015:2521-01, RHSA-2015:2522-01, RHSA-2015:2523-01, RHSA-2015:2524-01, RHSA-2015:2534-01, RHSA-2015:2535-01, RHSA-2015:2536-01, RHSA-2015:2537-01, RHSA-2015:2538-01, RHSA-2015:2539-01, RHSA-2015:2540-01, RHSA-2015:2541-01, RHSA-2015:2542-01, RHSA-2015:2547-01, RHSA-2015:2548-01, RHSA-2015:2556-01, RHSA-2015:2557-01, RHSA-2015:2559-01, RHSA-2015:2560-01, RHSA-2015:2578-01, RHSA-2015:2579-01, RHSA-2015:2670-01, RHSA-2015:2671-01, RHSA-2016:0040-01, RHSA-2016:0118-01, SA110, SB10144, SOL30518307, VIGILANCE-VUL-18294, VMSA-2015-0009, VMSA-2015-0009.1, VMSA-2015-0009.2, VMSA-2015-0009.3, VMSA-2015-0009.4, VU#576313.

Description de la vulnérabilité

La bibliothèque Apache Commons Collections est utilisée par de nombreuses applications Java.

Un objet Java Gadgets ("gadget chains") peut contenir des Transformers, avec une chaîne "exec" contenant une commande shell qui est exécutée avec la méthode Java.lang.Runtime.exec(). Lorsque des données brutes sont désérialisées, la méthode readObject() est donc appelée pour reconstruire l'objet Gadgets, et elle utilise InvokerTransformer, qui exécute la commande shell indiquée.

On peut noter que d'autres classes (CloneTransformer, ForClosure, InstantiateFactory, InstantiateTransformer, PrototypeCloneFactory, PrototypeSerializationFactory, WhileClosure) exécutent aussi une commande shell à partir de données brutes à désérialiser.

Cependant, plusieurs applications exposent publiquement (avant authentification) la fonctionnalité de désérialisation Java.

Un attaquant peut donc envoyer un objet Gadget Chain sérialisé malveillant vers une application Java utilisant Apache Commons Collections, afin d'exécuter du code shell.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2012-0874 CVE-2013-4810

JBoss AS 4, 5 : exécution de code via Invoker

Synthèse de la vulnérabilité

Un attaquant peut employer EJBInvokerServlet / JMXInvokerServlet de JBoss AS 4/5, afin de déployer un code shell, qui est exécuté sur le serveur.
Produits concernés : JBoss AS OpenSource, RHEL, JBoss EAP par Red Hat.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/11/2013.
Références : 795645, BID-57552, CVE-2012-0874, CVE-2013-4810, RHSA-2013:0191-01, RHSA-2013:0192-01, RHSA-2013:0193-01, RHSA-2013:0194-01, RHSA-2013:0195-01, RHSA-2013:0196-01, RHSA-2013:0197-01, RHSA-2013:0198-01, RHSA-2013:0221-01, RHSA-2013:0533-01, VIGILANCE-VUL-13802.

Description de la vulnérabilité

Dans les versions 4 et 5 de JBoss AS, le service HTTP Invoker permet accéder aux EJB (Enterprise Java Beans) via RMI/HTTP.

Cependant l'accès aux servlets EJBInvokerServlet et JMXInvokerServlet ne nécessite pas d'authentification par défaut.

Un attaquant peut donc employer EJBInvokerServlet / JMXInvokerServlet de JBoss AS 4/5, afin de déployer un code shell, qui est exécuté sur le serveur.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2009-5066

JBoss AS 5 : lecture de mot de passe via twiddle.sh

Synthèse de la vulnérabilité

Lorsque le script twiddle.sh est utilisé, un attaquant local peut employer la commande ps, afin de lire le mot de passe.
Produits concernés : JBoss AS OpenSource, RHEL, JBoss EAP par Red Hat.
Gravité : 1/4.
Conséquences : accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/07/2012.
Références : BID-54631, CVE-2009-5066, JBPAPP-3391, RHSA-2013:0191-01, RHSA-2013:0192-01, RHSA-2013:0193-01, RHSA-2013:0194-01, RHSA-2013:0195-01, RHSA-2013:0196-01, RHSA-2013:0197-01, RHSA-2013:0198-01, RHSA-2013:0221-01, RHSA-2013:0533-01, VIGILANCE-VUL-11787.

Description de la vulnérabilité

Le script twiddle.sh, fourni avec JBoss Application Server version 5, permet de se connecter sur un serveur JMX. Il utilise twiddle.jar.

Cependant, le login/password doit être fourni sur la ligne de commande. Par exemple :
  ./twiddle.sh --user=MonLogin --password=MonPassword ...

Lorsque le script twiddle.sh est utilisé, un attaquant local peut donc employer la commande ps, afin de lire le mot de passe.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2011-3606 CVE-2011-3609

JBoss AS : deux vulnérabilités de la Console

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting et un Cross Site Request Forgery dans la Console d'administration de JBoss AS.
Produits concernés : JBoss AS OpenSource, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/12/2011.
Références : 742984, 743006, BID-50885, BID-50888, CERTA-2011-AVI-671, CVE-2011-3606, CVE-2011-3609, VIGILANCE-VUL-11188.

Description de la vulnérabilité

Deux vulnérabilités ont été annoncées dans la Console d'administration de JBoss Application Server.

Un attaquant peut provoquer un Cross Site Scripting via l'évènement OnError, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 742984, BID-50885, CERTA-2011-AVI-671, CVE-2011-3606]

Un attaquant peut employer JSON, afin de provoquer un Cross Site Request Forgery, pour exécuter des commandes administratives. [grav:2/4; 743006, BID-50888, CVE-2011-3609]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2010-4476

Java JRE : déni de service via un réel

Synthèse de la vulnérabilité

Un attaquant peut employer un nombre réel double spécial, afin de provoquer une boucle infinie dans les programmes Java.
Produits concernés : Debian, Fedora, HPE BAC, HPE NNMi, OpenView, OpenView NNM, Tru64 UNIX, HP-UX, AIX, DB2 UDB, Tivoli Directory Server, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, JBoss AS OpenSource, MES, Mandriva Linux, NLD, OES, Java OpenJDK, openSUSE, Oracle iPlanet Web Server, Java Oracle, Oracle Web Tier, RHEL, JBoss EAP par Red Hat, SLES.
Gravité : 3/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/02/2011.
Références : 1468291, BID-46091, c02729756, c02738573, c02746026, c02752210, c02775276, c02826781, c02906075, c03090723, c03316985, CERTA-2002-AVI-271, CERTA-2012-AVI-286, cpuapr2011, CVE-2010-4476, DSA-2161-1, DSA-2161-2, FEDORA-2011-1231, FEDORA-2011-1263, HPSBMU02690, HPSBTU02684, HPSBUX02633, HPSBUX02641, HPSBUX02642, HPSBUX02645, HPSBUX02685, HPSBUX02725, HPSBUX02777, IZ94331, javacpufeb2011, MDVSA-2011:054, openSUSE-SU-2011:0126-1, PM32175, PM32177, PM32184, PM32192, PM32194, RHSA-2011:0210-01, RHSA-2011:0211-01, RHSA-2011:0212-01, RHSA-2011:0213-01, RHSA-2011:0214-01, RHSA-2011:0282-01, RHSA-2011:0290-01, RHSA-2011:0291-01, RHSA-2011:0292-01, RHSA-2011:0299-01, RHSA-2011:0333-01, RHSA-2011:0334-01, RHSA-2011:0336-01, RHSA-2011:0348-01, RHSA-2011:0349-01, RHSA-2011:0880-01, SSRT100387, SSRT100390, SSRT100412, SSRT100415, SSRT100505, SSRT100569, SSRT100627, SSRT100854, SUSE-SA:2011:010, SUSE-SA:2011:014, SUSE-SR:2011:008, SUSE-SU-2011:0823-1, swg21469266, swg24030066, swg24030067, VIGILANCE-VUL-10321.

Description de la vulnérabilité

Le nombre 2.2250738585072011e-308 est le "plus grand nombre double subnormal", c'est-à-dire 0x0fffffffffffff x 2^-1022 en base 2.

Sur un processeur x86, Java JRE utilise les registres FPU x87 (80 bit), pour trouver bit-après-bit la valeur réelle la plus proche. Cette boucle s'arrête lorsque le reste est inférieur à la précision. Cependant, avec le nombre 2.225..., cette condition d'arrêt n'est jamais vraie (80 bits arrondis en 64 bits), et une boucle infinie se produit.

Un attaquant peut donc employer un nombre réel double spécial, afin de provoquer une boucle infinie dans les programmes Java.

L'origine de cette vulnérabilité est la même que VIGILANCE-VUL-10257.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2010-2474

JBoss : élévation de privilèges via ESB

Synthèse de la vulnérabilité

Dans certains cas, les données d'un service utilisant le composant ESB peuvent être traitées avec des privilèges incorrects.
Produits concernés : JBoss AS OpenSource.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/07/2010.
Références : 609442, BID-41915, CERTA-2010-AVI-336, CERTA-2010-AVI-354, CVE-2010-2474, VIGILANCE-VUL-9786.

Description de la vulnérabilité

Le composant JBoss ESB assure la communication entre plusieurs services répartis.

Normalement, un service s'exécute avec les autorisations de son domaine.

Cependant, dans certains cas, les données d'un service utilisant le composant ESB sont traitées avec des privilèges incorrects.

Un service peut donc être exécuté avec des privilèges élevés, ce qui en fonction du service peut provoquer une vulnérabilité.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 9711

JBoss AS : Cross Site Request Forgery de JMX Console

Synthèse de la vulnérabilité

Lorsque l'administrateur est connecté sur la JMX Console de JBoss AS, un attaquant peut l'inviter à consulter une page web, afin d'automatiquement déployer un fichier WAR via le MBean DeploymentFileRepository.
Produits concernés : JBoss AS OpenSource, JBoss EAP par Red Hat.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/06/2010.
Références : VIGILANCE-VUL-9711.

Description de la vulnérabilité

La JMX Console de JBoss Application Server est utilisée pour administrer le site.

Le MBean DeploymentFileRepository permet de facilement déployer une application WAR sur le site.

La page http://serveur:8080/jmxconsole/HtmlAdaptor permet d'appeler directement DeploymentFileRepository, sans confirmation, pour déployer une application illicite.

Lorsque l'administrateur est connecté sur la JMX Console de JBoss AS, un attaquant peut donc l'inviter à consulter une page web contenant une image vers HtmlAdaptor, afin d'automatiquement déployer un fichier WAR via le MBean DeploymentFileRepository.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2008-5515 CVE-2009-0033 CVE-2009-0580

Apache Tomcat : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités d'Apache Tomcat afin de mener un déni de service ou d'obtenir des informations.
Produits concernés : Tomcat, BES, Debian, Fedora, Performance Center, HP-UX, JBoss AS OpenSource, NSM Central Manager, NSMXpress, MES, Mandriva Linux, OpenSolaris, openSUSE, Solaris, RHEL, JBoss EAP par Red Hat, SLES, ESX, ESXi, VMware Server, vCenter Server, VirtualCenter.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 04/06/2009.
Dates révisions : 09/06/2009, 10/06/2010.
Références : 263529, 6848375, 6849727, BID-35193, BID-35196, BID-35263, BID-35416, c01908935, c02181353, c02515878, CERTA-2009-AVI-211, CERTA-2010-AVI-220, CERTA-2011-AVI-169, CVE-2008-5515, CVE-2009-0033, CVE-2009-0580, CVE-2009-0783, DSA-2207-1, FEDORA-2009-11352, FEDORA-2009-11356, FEDORA-2009-11374, HPSBMA02535, HPSBUX02466, HPSBUX02579, KB25966, MDVSA-2009:136, MDVSA-2009:138, MDVSA-2009:163, MDVSA-2010:176, PSN-2012-05-584, RHSA-2009:1143-01, RHSA-2009:1144-01, RHSA-2009:1145-01, RHSA-2009:1146-01, RHSA-2009:1164-01, RHSA-2009:1454-01, RHSA-2009:1506-01, RHSA-2009:1562-01, RHSA-2009:1563-01, RHSA-2009:1616-01, RHSA-2009:1617-01, RHSA-2010:0602-02, SSRT090192, SSRT100029, SSRT100203, SUSE-SR:2009:012, SUSE-SR:2010:008, VIGILANCE-VUL-8762, VMSA-2009-0016, VMSA-2009-0016.1, VMSA-2009-0016.2, VMSA-2009-0016.3, VMSA-2009-0016.4, VMSA-2009-0016.5.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Apache Tomcat.

Un attaquant peut employer des entêtes illicites afin de fermer la connexion AJP. [grav:2/4; BID-35193, CVE-2009-0033]

Lorsque l'authentification des formulaires (j_security_check) est en mode MemoryRealm, DataSourceRealm ou JDBCRealm, un attaquant peut utiliser un encodage d'url invalide pour le mot de passe. Il peut alors détecter si un nom d'utilisateur est valide. [grav:2/4; BID-35196, CVE-2009-0580]

Une application web peut changer le parseur XML, et ainsi accéder au fichier web.xml/context.xml d'une autre application. [grav:1/4; BID-35416, CVE-2009-0783]

Le chemin de l'url est canonisé inutilement dans ApplicationHttpRequest.java. L'url "http://s/rep1/rep2?/../" est par exemple convertie en "http://s/rep1/". [grav:2/4; BID-35263, CERTA-2009-AVI-211, CERTA-2010-AVI-220, CVE-2008-5515]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2009-1191

Apache httpd : obtention d'information via mod_proxy_ajp

Synthèse de la vulnérabilité

Dans certains cas, le module mod_proxy_ajp peut retourner au client des données destinées à un autre utilisateur.
Produits concernés : Apache httpd, JBoss AS OpenSource, Mandriva Linux, OpenSolaris, Solaris, RHEL, Slackware.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 23/04/2009.
Références : 46949, BID-34663, CVE-2009-1191, MDVSA-2009:102, MDVSA-2009:323, RHSA-2009:1058-01, SSA:2009-214-01, VIGILANCE-VUL-8669.

Description de la vulnérabilité

Le module mod_proxy_ajp assure l'interface entre le serveur Apache httpd et le serveur Apache Tomcat.

Une requête AJP (Apache JServ Protocol) est composée :
 - d'un entête
 - d'un corps ("POST")

Cependant si le client ferme la session sans avoir envoyé le corps, le module mod_proxy_ajp de Apache httpd 2.2.11 se désynchronise. Les données d'un autre utilisateur peuvent alors être retournées au client. Cette vulnérabilité est différente de VIGILANCE-VUL-8609.

Dans certains cas, le module mod_proxy_ajp peut donc retourner au client des données destinées à un autre utilisateur.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur JBoss AS OpenSource :