Boletines de Vulnerabilidades |
Múltiples Cross-Site Scripting en Sun Java System Identity Manager |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Aumento de la visibilidad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Sun Java System Identity Manager 6.0 Sun Java System Identity Manager 7.0 Sun Java System Identity Manager 7.1 |
Descripción |
|
Se han descubierto múltiple vulnerabilidades en Sun Java System Identity Manager 6.0, 7.0 y 7.1. Las vulnerabilidades se describen a continuación: - Se han descubierto cuatro vulnerabilidades de tipo Cross-Site Scripting. Un atacante remoto podría inyectar código HTML o javascript mediante un enlace especialmente diseñado que un usuario del sistema tendría que visitar. - Se han descubierto una vulnerabilidad que permitiría a un atacante remoto inyectar código HTML mediante un enlace especialmente diseñado que un usuario del sistema tendría que visitar. - Se han descubierto dos vulnerabilidades que permitirían a un atacante remoto inyectar marcos HTML con contenido de otras páginas Web o también podría redireccionar al navegador del usuario víctima a páginas Web maliciosas. Para esto el atacante tendría que construir un enlace especialmente diseñado que un usuario del sistema tendría que visitar. |
|
Solución |
|
Actualización de software Sun (103180) Sun Java System Identity Manager 6.0 / patch 136848-02 Sun Java System Identity Manager 6.0 SP1 / patch 136849-02 Sun Java System Identity Manager 6.0 SP2 / patch 136850-02 Sun Java System Identity Manager 6.0 SP3 / patch 136851-02 Sun Java System Identity Manager 7.0 / patch 136852-02 Sun Java System Identity Manager 7.1 / patch 136853-02 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2008-0239 |
BID | 27214 |
Recursos adicionales |
|
Sun Alert Notification (103180) http://sunsolve.sun.com/search/document.do?assetkey=1-26-103180-1 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2008-01-11 |
2.0 | Descripción ampliada. Aviso actualizado por Sun (103180) | 2008-01-24 |
2.1 | CVE añadido, BID añadido, XF añadido | 2008-08-22 |