Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Gestion des urgences > Intervention > CCRIC > Diffusions analytiques 2010 > AV09-046 : Vulnérabilités de scripts entre sites et de contournement des mesures de sécurité dans McAfee NSM

Liens institutionnels

Vulnérabilités de scripts entre sites et de contournement des mesures de sécurité dans McAfee NSM

Numéro : AV09-046
Date : 13 novembre 2009

Objet

Cet avis a pour objet d'attirer l'attention sur d'importantes vulnérabilités dans McAfee Networking Security Manager (anciennement appelé Intrushield Security Management) versions 5.1.7.7 et antérieures.

Évaluation

Networking Security Manager (NSM) est susceptible à des attaques de scripts entre sites (XSS) en raison d'une mauvaise validation des données d'entrées de l'utilisateur. Le script à l'origine de cette vulnérabilité s'appelle Login.jsp. Par conséquent, le logiciel est vulnérable à des techniques d'exploitation à l'aide de scripts entre sites. Dans un scénario possible, un lien est envoyé à un utilisateur ou à un administrateur de NSM. L'utilisateur clique sur le lien et du code JavaScript est exécuté dans le contexte de navigateur de l'administrateur NSM. On s'attend à ce que le système dans lequel on gère le logiciel NSM soit déployé dans une zone distincte et, par conséquent, qu'il subisse une exposition minimale.

La vulnérabilité de contournement des mesures de sécurité décrit une situation où le logiciel NSM n'utilise pas la balise HttpOnly, ce qui l'expose au vol de cookie pendant une session HTTP. Lorsqu'un cookie est HttpOnly, le navigateur Web ne devrait pas permettre à des scripts côté client, comme du code JavaScript, d'accéder au cookie. Cela atténue les effets des méthodes d'exploitation XSS. Le fournisseur a éliminé la vulnérabilité XSS avec les versions 5.1.11.6 et ultérieures.Le fournisseur a éliminé la vulnérabilité de contournement des mesures de sécurité avec les versions

5.1.11.8.1 et ultérieures.

Références CVE :
CVE-2009-3565
CVE-2009-3566

Le CCRIC recommande aux administrateurs de tester et de déployer ces mises à jour à la première occasion, conformément à leurs pratiques de gestion des versions.

Références (en anglais seulement) :
https://kc.mcafee.com/corporate/index?page=content&id=SB10004
https://kc.mcafee.com/corporate/index?page=content&id=SB10005
http://www.vupen.com/english/advisories/2009/3226

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2009-11-13
Haut de la page
Haut de la page
Avis importants