Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

RSA Authentication Agent pour Web pour IIS : Cross-Site Scripting

22/01/2007 14H46
Référence Secunia : SA14954 
Date de publication : 2005-04-15
Dernière mise à jour : 2005-06-08

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
RSA Authentication Agent pour Web pour IIS 5.x

Référence CVE :
CVE-2005-1118


Description :
Oliver Karow a rapporté une vulnérabilité dans RSA Authentication Agent pour Web pour IIS, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques cross-site scripting.

L'entrée passée au paramètre "postdata" dans "/WebID/IISWebAgentIF.dll" n'est pas correctement filtrée avant d'être retournée aux utilisateurs. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site vulnérable.

La vulnérabilité a été rapportée en version 5.2. Les versions précédentes pourraient également être affectées.


Solutions :
Mettre à jour en version 5.3.
http://www.rsasecurity.com/node.asp?id=2807&node_id=


Vulnérabilité découverte par :

Oliver Karow
Historique :
2005-04-18: Référence CVE ajoutée.
2005-06-08: Ajout d'un lien à une note de vulnérabilité du US-CERT.

Référence :
http://www.oliverkarow.de/research/rsaxss.txt


Autres références :

US-CERT VU#366372:
http://www.kb.cert.org/vuls/id/366372




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.