S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 23 décembre 2008 No CERTA-2008-AVI-610

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités dans Novell Identity Manager

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Injection de code indirecte (XSS).

2 Systèmes affectés

Novell Identity Manager 3.x.

3 Résumé

Plusieurs vulnérabilités dans Novell Identity Manager permettent à une personne malveillante d'effectuer des attaques de type injection de code indirecte.

4 Description

Plusieurs vulnérabilités permettent à une personne malintentionnée d'effectuer des attaques de type injection de code indirecte (XSS) dans Novel Identity Manager :

• une erreur dans le traitement des données transmises à Page Navigation permet une injection de code indirecte ;
• une erreur dans le traitement des données transmises à UIQuery permet une injection de code indirecte.

5 Solution

Se référer aux bulletins de miseis à jour de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de mise à jour Novell 5040000 du 17 décembre 2008 :

  http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040000.html
  

• Bulletin de mise à jour Novell 5040020 du 17 décembre 2008 :

  http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040020.html
  

• Bulletin de mise à jour Novell 5040040 du 17 décembre 2008 :

  http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040040.html
  

• Bulletin de mise à jour Novell 5040041 du 17 décembre 2008 :

  http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040041.html
  

• Bulletin de mise à jour Novell 5040042 du 17 décembre 2008 :

  http://support.novell.com/docs/Readmes/infoDocument/patchbuilder/readme_5040042.html
  

Gestion détaillée du document

23 décembre 2008

version initiale.