L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de MuleSoft Mule Runtime

annonce de vulnérabilité informatique 15527

Mulesoft Mule ESB : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut injecter du code Java dans la console d'administration Web de Mulesoft Mule ESB, afin, par exemple d'augmenter ses privilèges.
Produits concernés : Mule ESB.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Confiance : source unique (2/5).
Date création : 23/10/2014.
Date révision : 27/10/2014.
Références : VIGILANCE-VUL-15527.

Description de la vulnérabilité

Le produit Mulesoft ESB dispose d'une console d'administration web.

Ce service Web est utilisé comme serveur RPC. Cependant, ce service ne vérifie pas correctement la validité des arguments. Un attaquant authentifié peut ainsi appeler des procédures non autorisées. L'exemple d'attaque suggère que le service "désérialise" le corps de la requête HTTP sans restrictions suffisantes sur le contenu de la requête.

Un attaquant peut donc injecter du code Java dans Mulesoft Mule ESB, afin, par exemple d'augmenter ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2014-0107

Xalan-Java : vulnérabilités de FEATURE_SECURE_PROCESSING

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de l'implémentation FEATURE_SECURE_PROCESSING de Xalan-Java.
Produits concernés : Xalan-Java, Debian, Fedora, SiteScope, Mule ESB, openSUSE, RHEL, JBoss EAP par Red Hat, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/03/2014.
Références : c05324755, CERTFR-2014-AVI-252, CERTFR-2014-AVI-365, CVE-2014-0107, DSA-2886-1, FEDORA-2014-4426, FEDORA-2014-4443, HPSBGN03669, oCERT-2014-002, openSUSE-SU-2014:0861-1, openSUSE-SU-2014:0948-1, RHSA-2014:0348-01, RHSA-2014:0453-01, RHSA-2014:0454-01, RHSA-2014:0590-01, RHSA-2014:0591-01, RHSA-2014:0818-01, RHSA-2014:0819-01, RHSA-2014:1007-01, RHSA-2014:1059-01, RHSA-2014:1290-01, RHSA-2014:1291-01, RHSA-2014:1351-01, RHSA-2014:1369-01, RHSA-2014:1995-01, RHSA-2015:1009, SUSE-SU-2014:0870-1, USN-2218-1, VIGILANCE-VUL-14468, XALANJ-2435.

Description de la vulnérabilité

La constante FEATURE_SECURE_PROCESSING (http://javax.xml.XMLConstants/feature/secure-processing) demande à Xalan-Java d'analyser les fichiers XML de manière sûre, afin par exemple de bloquer les dénis de service. Cependant, elle est impactée par trois vulnérabilités.

Un attaquant peut accéder à XSLT 1.0 system-property(), afin d'obtenir des informations sensibles. [grav:2/4]

Les propriétés xalan:content-handler et xalan:entities permettent de charger une classe ou une ressource externe. [grav:2/4; XALANJ-2435]

Si BSF (Bean Scripting Framework) est dans le classpath, un attaquant peut ouvrir un JAR, afin d'exécuter du code. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur MuleSoft Mule Runtime :