Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Blue Coat Reporter : Vulnérabilités Diverses

22/01/2007 16H25
Référence Secunia : SA15452 
Date de publication : 2005-05-23
Dernière mise à jour : 2005-05-26

Risque : Non Critique. Niveau 2 sur 5.
Impact : Contournement de la Sécurité, Cross Site Scripting, Elévation de privilèges
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Blue Coat Reporter 7.x

Référence CVE :
CVE-2005-1710


Description :
Oliver Karow a rapporté quelques vulnérabilités dans Blue Coat Reporter, qui pourraient être exploitées pour conduire des attaques cross-site scripting et des attaques par insertion de script, contourner certaines restrictions de sécurité, ou obtenir des privilèges plus élevés.

1) Une erreur permet un utilisateur malicieux pour créer un compte utilisateur administratif en envoyant une requête POST spécialement conçue.

2) Une erreur non spécifiée permet un utilisateur non privilégié à add a license.

3) L'entrée passée comme un nom d'utilisateur dans le "Add User" window n'est pas correctement filtrée avant d'être utilisée. Cela pourrait être exploité par administrative users pour conduire des attaques par insertion de script.

4) L'entrée passée comme un license key dans le "Licensing" page n'est pas correctement filtrée avant d'être retournée aux utilisateurs. Cela pourrait être exploité pour conduire des attaques cross-site scripting.


Solutions :
Les vulnérabilités ont été corrigées en version 7.1.2 (ETA 2005-05-27).


Vulnérabilité découverte par :

Oliver Karow
Historique :
2005-05-25: Ajout d'informations distribué par Oliver Karow.
2005-05-26: Références CVE ajoutées.

Référence :
Blue Coat Systems:
http://www.bluecoat.com/support/knowledge/advisory_reporter_711_vulnerabilitys.html

Oliver Karow:
http://www.oliverkarow.de/research/bluecoat.txt




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.