SGDSN AVIS DU CERTA Gestion du document 1 Risque 2
Transcription
SGDSN AVIS DU CERTA Gestion du document 1 Risque 2
PREMIER MINISTRE S.G.D.S.N Paris, le 17 juillet 2012 No CERTA-2012-AVI-391 Agence nationale de la sécurité des systèmes d’information CERTA Affaire suivie par : CERTA AVIS DU CERTA Objet : Vulnérabilités dans IBM WebSphere Conditions d’utilisation de ce document : Dernière version de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-391 Gestion du document Référence Titre Date de la première version Date de la dernière version Source(s) Pièce(s) jointe(s) CERTA-2012-AVI-391 Vulnérabilités dans IBM WebSphere 17 juillet 2012 – Bulletin de sécurité IBM swg21600616 du 05 juillet 2012 Aucune TAB . 1 – Gestion du document Une gestion de version détaillée se trouve à la fin de ce document. 1 Risque Injection de code indirecte à distance. 2 Systèmes affectés – – – – 3 IBM WebSphere Operanital Decision Management version 7.5.0.0 à 8.0.0.0 ; IBM WebSphere ILOG JRules version 7.0.0 à 7.1.1.4 ; IBM WebSphere ILOG Rules pour Cobol version 7.0.0 à 7.1.4 ; IBM WebSphere ILOG Rules pour z/OS version 7.0.0 à 7.1.4. Résumé Deux vulnérabilités ont été corrigées dans IBM WebSphere. Elles affectent toutes les deux le composant IEHS (IBM Eclipse Help System). La première concerne une injection de code indirecte à distance (XSS) et la deuxième est une redirection d’URL. 4 Solution Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation). Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI – CERTA 51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr 75700 Paris 07 SP Fax: 01 71 75 84 70 Mél : [email protected] 5 Documentation – Bulletin de sécurité IBM swg21600616 du 05 juillet 2012 : http://www-01.ibm.com/support/docview.wss?uid=swg21600616 – Bulletin de sécurité IBM ISS X-Force 74833 du 08 juin 2012 : http://xforce.iss.net/xforce/xfdb/74833 – Bulletin de sécurité IBM ISS X-Force 74832 du 08 juin 2012 : http://xforce.iss.net/xforce/xfdb/74832 – Référence CVE CVE-2012-2161 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2161 – Référence CVE CVE-2012-2159 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2159 Gestion détaillée du document 17 juillet 2012 version initiale. 2