Risque

  • Déni de service à distance ;
  • élévation de privilèges.

Systèmes affectés

  • Sun Java System Directory Server Enterprise Edition version 6.0 ;
  • Sun Java System Directory Server Enterprise Edition version 6.1 ;
  • Sun Java System Directory Server Enterprise Edition version 6.2 ;
  • Sun Java System Directory Server Enterprise Edition version 6.3 ;
  • Sun Java System Directory Server Enterprise Edition version 6.3.1 sans le correctif 141958-01.

Résumé

De multiples vulnérabilités dans Directory Server Enterprise Edition permettent de réaliser un déni de service à distance ou de bénéficier des privilèges d'un autre utilisateur.

Description

De multiples vulnérabilités ont été découvertes dans Directory Server Enterprise Edition versions 6.x :

  • sous certaines conditions, l'opération d'un client peut être exécutée avec les privilèges d'un autre client ;
  • en envoyant des paquets spécifiquement constitués, il est possible d'empêcher le serveur de répondre aux nouvelles connexions ;
  • en utilisant un client psearch spécifique, il est possible d'empêcher le serveur d'envoyer des réponses aux autres clients psearch.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation