Avis du CERT-FR

Objet: Vulnérabilité dans CA eHealth

Gestion du document

Référence	CERTA-2011-AVI-291
Titre	Vulnérabilité dans CA eHealth
Date de la première version	13 mai 2011
Date de la dernière version	13 mai 2011
Source(s)	Bulletin de sécurité CA20110510-01 du 10 mai 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance.

Systèmes affectés

CA eHealth versions 6.0.x ;
CA eHealth versions 6.1.x ;
CA eHealth versions 6.2.1 et 6.2.2.

Résumé

Une vulnérabilité dans CA eHealth permet de réaliser une injection de code indirecte à distance.

Description

Une vulnérabilité, liée à une validation insuffisante des paramètres envoyés dans une requête, a été découverte dans CA eHealth. Elle permet de réaliser diverses injections de code indirectes.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité CA20110510-01 du 10 mai 2011 :
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=5662845D-4CD7-4CE6-8829-4F07A4C67366
Référence CVE CVE-2011-1899 :
https://www.cve.org/CVERecord?id=CVE-2011-1899

Gestion détaillée du document

le 13 mai 2011: version initiale.