Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut envoyer des données XML spéciales, afin de
provoquer un déni de service lors de leur analyse par JBoss Web
Services Native.

Gravité : 2/4

Date création : 16/09/2011

PRODUITS CONCERNÉS

– Red Hat Enterprise Linux
– Red Hat JBoss Enterprise Application Platform

DESCRIPTION DE LA VULNÉRABILITÉ

Un utilisateur peut employer une requête HTTP POST, afin de
transmettre des données XML au service JBoss.

Un fichier XML peut contenir des caractères spéciaux représentés
sous forme d’entités, comme "&abc;". Ces entités sont définies
dans un DTD (Document Type Definitions).

Un attaquant peut créer une entité appelant de nombreuses autres
entités. JBoss ne limite pas le nombre de remplacements, ce qui
provoque un appel récursif très profond.

Un attaquant peut donc envoyer des données XML spéciales, afin de
provoquer un déni de service lors de leur analyse par JBoss Web
Services Native.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/JBoss-deni-de-service-via-recursivite-DTD-11000