viernes, 23 de julio de 2004

Salto de mecanismos de autenticación en Sun Java System Portal Server 6.2

Se ha descubierto una vulnerabilidad en Sun Java System Portal Server
que podría permitir a un usuario malicioso conseguir derechos
administrativos.

Según la descripción de Sun, Java System Portal Server es una solución
de servidor de portal del sector con activación de identidad. Proporciona
la gestión de usuarios, políticas e identidades necesaria para que las
comunidades de usuarios finales cumplan la seguridad, la conexión única
y las capacidades.

El problema, confirmado en la versión 6.2, se da si el usuario cambia
las opciones de visualización a una vista que no sea la configurada
por defecto. Esto sólo afecta al servidor Calendar, que debe estar
configurado con "Admin Proxy Authentication" y el usuario debe
autenticarse a través del canal de comunicación "Portal".

La dirección para descargar este parche de actualización son las
siguientes en función de la plataforma:
Para plataforma Sparc
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=116856&rev=10
Para plataforma x86
http://sunsolve.sun.com/pub-cgi/findPatch.pl?patchId=117757&rev=09


Julio Canto
jcanto@hispasec.com


Más información:

Proxy Authentication to Calendar Server Fails if Portal Display Preferences Are Changed
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F57586&zone_32=category%3Asecurity

Sun Java System Portal Server
http://www.sun-catalogue.com/productinfo.xml?site=ES_SPA&catalogue=FC&segment=FC_SC&item=FC_SC_SRCHIN&id=11292