Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Sun Java System Web Server / Web Proxy Server : Cross-Site Scripting

24/12/2007 17H14
Référence Secunia : SA28216 
Date de publication : 2007-12-24

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Sun Java System Web Proxy Server 3.x
Sun Java System Web Proxy Server 4.x
Sun Java System Web Server (Sun ONE/iPlanet) 6.x
Sun Java System Web Server 7.x


Description :
Quelques vulnérabilités ont été identifiées dans Sun Java System Web Server / Web Proxy Server, qui pourraient être exploitées par des personnes malintentionnées pour conduire des attaques cross-site scripting.

Une certaine entrée non spécifiée n'est pas correctement filtrée avant d'être renvoyée à l'utilisateur. Elles pourraient être exploitées pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site affecté.



Les vulnérabilités sont rapportées dans Sun Java System Web Server versions 6.1 et 7.0, et Sun Java System Web Proxy Server versions 3.6 et 4.0. Veuillez voir le bulletin de l'éditeur pour plus d'informations.


Solutions :
Appliquer les correctifs.

-- Plateforme SPARC --
* Sun Java System Web Server 6.1 avec Service Pack 8 ou supérieure
http://www.sun.com/download/products.xml?id=4694392a

* Sun Java System Web Server 6.1 avec patch 116648-20 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116648-20-1

* Sun Java System Web Server 7.0 avec Update 1 ou supérieure
http://www.sun.com/download/products.xml?id=467713d6

* Sun Java System Web Server 7.0 avec patch 125437-07 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125437-07-1

* Sun Java System Web Proxy Server 3.6 Service Pack 11 ou supérieure
http://www.sun.com/download/products.xml?id=472a622f

* Sun Java System Web Proxy Server 4.0.6 ou supérieure
http://www.sun.com/download/products.xml?id=4701e042

* Sun Java System Web Proxy Server 4.0 avec patch 120981-13 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120981-13-1


-- Plateforme x86 --
* Sun Java System Web Server 6.1 avec Service Pack 8 ou supérieure
http://www.sun.com/download/products.xml?id=4694392a

* Sun Java System Web Server 6.1 avec patch 116649-20 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116649-20-1

* Sun Java System Web Server 7.0 avec Update 1 ou supérieure
http://www.sun.com/download/products.xml?id=467713d6

* Sun Java System Web Server 7.0 avec patch 125438-07 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125438-07-1

* Sun Java System Web Proxy Server 4.0.6 ou supérieure
http://www.sun.com/download/products.xml?id=4701e042

* Sun Java System Web Proxy Server 4.0 avec patch 120982-13 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120982-13-1


-- Linux --
* Sun Java System Web Server 6.1 avec Service Pack 8 ou supérieure
http://www.sun.com/download/products.xml?id=4694392a

* Sun Java System Web Server 6.1 avec patch 118202-12 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118202-12-1

* Sun Java System Web Server 7.0 avec Update 1 ou supérieure
http://www.sun.com/download/products.xml?id=467713d6

* Sun Java System Web Server 7.0 avec patch 125439-07 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125439-07-1

* Sun Java System Web Proxy Server 4.0.6 ou supérieure
http://www.sun.com/download/products.xml?id=4701e042

* Sun Java System Web Proxy Server 4.0 avec patch 120983-13 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120983-13-1


-- Windows --
* Sun Java System Web Server 6.1 avec Service Pack 8 ou supérieure
http://www.sun.com/download/products.xml?id=4694392a

* Sun Java System Web Server 6.1 avec patch 121524-04 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-121524-04-1

* Sun Java System Web Server 7.0 avec Update 1 ou supérieure
http://www.sun.com/download/products.xml?id=467713d6

* Sun Java System Web Server 7.0 avec patch 125441-06 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125441-06-1

* Sun Java System Web Proxy Server 3.6 Service Pack 11 ou supérieure
http://www.sun.com/download/products.xml?id=472a622f

* Sun Java System Web Proxy Server 4.0.6 ou supérieure
http://www.sun.com/download/products.xml?id=4701e042


-- HP-UX --
* Sun Java System Web Server 6.1 avec Service Pack 8 ou supérieure
http://www.sun.com/download/products.xml?id=4694392a

* Sun Java System Web Server 6.1 avec patch 121510-04 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-121510-04-1

* Sun Java System Web Server 7.0 avec Update 1 ou supérieure
http://www.sun.com/download/products.xml?id=467713d6

* Sun Java System Web Server 7.0 avec patch 125440-01 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125440-01-1

* Sun Java System Web Proxy Server 3.6 Service Pack 11 ou supérieure
http://www.sun.com/download/products.xml?id=472a622f

* Sun Java System Web Proxy Server 4.0.6 ou supérieure
http://www.sun.com/download/products.xml?id=4701e042

* Sun Java System Web Proxy Server 4.0 avec patch 123532-03 ou supérieure
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-123532-03-1


-- AIX --
* Sun Java System Web Server 6.1 avec Service Pack 8 ou supérieure
http://www.sun.com/download/products.xml?id=4694392a

* Sun Java System Web Proxy Server 3.6 Service Pack 11 ou supérieure
http://www.sun.com/download/products.xml?id=472a622f


Vulnérabilité découverte par :

L'éditeur crédite:
* Daiki Fukumori, Secure Sky Technology
* JPCERT/CC

Référence :
Sun (103002):
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103002-1


Autres références :

SA28186:
http://secunia.com/advisories/28186/




Veuillez noter : L'information sur laquelle ce bulletin de sécurité Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.