S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 08 février 2012 No CERTA-2012-AVI-066

Affaire suivie par :

CERTA

Objet : Vulnérabilité dans JBoss Enterprise Platform

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

• Exécution de code arbitraire à distance ;
• déni de service à distance ;
• contournement de la politique de sécurité.

2 Systèmes affectés

3 Résumé

4 Description

• exécuter du code Java arbitraire à distance (CVE-2011-1484) ;
• provoquer un déni de service à distance (CVE-2011-4858) ;
• effectuer des rejeux de session (CVE-2011-1184, CVE-2011-5062, CVE-2011-5063, CVE-2011-5064) ;
• effectuer des requêtes non authentifiées (CVE-2011-4085) ;
• contourner les restrictions d'accès à certains fichiers (CVE-2011-2526).

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité RedHat RHSA-2012:0091 du 02 février 2012 :

  http://rhn.redhat.com/errata/RHSA-2012-0091.html
  

• Référence CVE-2011-1184 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1184
  

• Référence CVE-2011-1484 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1484
  

• Référence CVE-2011-2526 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2526
  

• Référence CVE-2011-4085 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4085
  

• Référence CVE-2011-4858 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4858
  

• Référence CVE-2011-5062 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5062
  

• Référence CVE-2011-5063 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5063
  

• Référence CVE-2011-5064 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5064
  

Gestion détaillée du document

08 février 2012

version initiale.