S.G.D.S.N AVIS DU CERTA Gestion du document 1 ...

aureolinmoaningInternet and Web Development

Aug 15, 2012 (4 years and 10 months ago)

280 views

PREMIER MINISTRE
S.G.D.S.N
Agence nationale de la sécurité
des systèmes d’information
CERTA
Affaire suivie par:
CERTA
Paris,le 17 juillet 2012
N
o
CERTA-2012-AVI-391
AVIS DU CERTA
Objet:Vulnérabilités dans IBMWebSphere
Conditions d’utilisation de ce document:http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document:http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-391
Gestion du document
Référence
CERTA-2012-AVI-391
Titre
Vulnérabilités dans IBMWebSphere
Date de la première version
17 juillet 2012
Date de la dernière version

Source(s)
Bulletin de sécuritéIBMswg21600616 du 05 juillet 2012
Pièce(s) jointe(s)
Aucune
TAB.1 – Gestion du document
Une gestion de version détaillée se trouve àla fin de ce document.
1 Risque
Injection de code indirecte àdistance.
2 Systèmes affectés

IBMWebSphere Operanital Decision Management version 7.5.0.0 à8.0.0.0;

IBMWebSphere ILOG JRules version 7.0.0 à7.1.1.4;

IBMWebSphere ILOG Rules pour Cobol version 7.0.0 à7.1.4;

IBMWebSphere ILOG Rules pour z/OS version 7.0.0 à7.1.4.
3 Résumé
Deux vulnérabilités ont étécorrigées dans IBMWebSphere.Elles affectent toutes les deux le composant IEHS
(IBMEclipse Help System).La première concerne une injection de code indirecte àdistance (XSS) et la deuxième
est une redirection d’URL.
4 Solution
Se référer au bulletin de sécuritéde l’éditeur pour l’obtention des correctifs (cf.section Documentation).
Secrétariat général de la défense et de la sécuriténationale – ANSSI – COSSI – CERTA
51,bd de La Tour-Maubourg Tél.:01 71 75 84 50 Web:http://www.certa.ssi.gouv.fr
75700 Paris 07 SP Fax:01 71 75 84 70 Mél:certa-svp@certa.ssi.gouv.fr
5 Documentation

Bulletin de sécuritéIBMswg21600616 du 05 juillet 2012:
http://www-01.ibm.com/support/docview.wss?uid=swg21600616

Bulletin de sécuritéIBMISS X-Force 74833 du 08 juin 2012:
http://xforce.iss.net/xforce/xfdb/74833

Bulletin de sécuritéIBMISS X-Force 74832 du 08 juin 2012:
http://xforce.iss.net/xforce/xfdb/74832

Référence CVE CVE-2012-2161:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2161

Référence CVE CVE-2012-2159:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2159
Gestion détaillée du document
17 juillet 2012
version initiale.
2