Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-347

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2008-AVI-347
Titre	Vulnérabilité de Sun Java System Access Manager
Date de la première version	04 juillet 2008
Date de la dernière version	-
Source(s)	Bulletin de sécurité Sun #201538
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

Sun Java System Access Manager 6 2005Q1 ;
Sun Java System Access Manager 7 2005Q4 ;
Sun Java System Access Manager 7.1 ;
Sun Java System Identify Server 6.1 ;
Sun Java System Identify Server 6.2.

3 Résumé

Une vulnérabilité dans Sun Java System Access Manager permet à un utilisateur distant d'exécuter du code arbitraire à distance.

4 Description

Une vulnérabilité est présente dans Sun Java System Access Manager. Celle-ci est relative à la gestion de signatures au format XML. Un utilisateur distant peut exploiter cette vulnérabilité au moyen d'une signature XML incluant une feuille de style XSLT particulière afin d'exécuter du code arbitraire dans le contexte de l'application vulnérable.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Bulletin de sécurité Sun Solaris #201538 du 26 juin 2008 :
```
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201538-1
```

Gestion détaillée du document

04 juillet 2008: version initiale.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 25/05/2012

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques