 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 17 août
2010
No CERTA-2010-AVI-387 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
Apache Geronimo
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-387 |
| Titre |
Vulnérabilités
dans Apache Geronimo |
| Date de la première
version |
17 août 2010 |
| Date de la dernière
version |
- |
| Source(s) |
Notes de version de Geronimo
2.1.6 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- déni de service à distance ;
- atteinte à la confidentialité des
données.
Serveur Apache Geronimo versions
2.1.5 et inférieures.
Des vulnérabilités concernant les composants
d'Apache Geronimo permettent
notamment à un utilisateur malveillant d'exécuter
du code arbitraire à distance et de réaliser un
déni de service.
- Une vulnérabilité (CVE-2010-1622) dans le
composant SpringSource Spring
Framework permet à un attaquant
d'exécuter du code arbitraire via une requête
HTTP contenant l'adresse d'un
fichier jar ;
- une erreur dans la gestion des DTD inclus dans les messages SOAP engendre une vulnérabilité
dans le composant Apache Axis2
(CVE-2010-1632) et Apache CXF
(CVE-2010-2076). Elle permet à un utilisateur
malveillant de déclencher des requêtes HTTP à des serveurs de
l'intranet, de lire des fichiers arbitraires, et causer un
déni de service par consommation excessive de
ressources système.
La version 2.1.6 de Apache
Geronimo contient les versions corrigées de ces
différents modules.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 17 août 2010
- version initiale.
CERTA
2012-01-04
|
|
)
