Sun Java System Identity Manager töbszörös sérülékenység


2009. március 19. 23:00

CH azonosító

CH-2046

Felfedezés dátuma

2009.03.19.

Súlyosság

Magas

Érintett rendszerek

Java System Identity Manager
Sun Microsystems

Érintett verziók

Sun Microsystems Java System Identity Manager 7.0, 7.1, 7.1.1, 8.0

Összefoglaló

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

Leírás

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

  1. Egy nem meghatározott hiba titkosítatlan kommunikációt eredményezhet a kliensek és az IDM szerver között
  2. Egy nem meghatározott hiba kihasználható az érvényes felhasználói fiókok megjelenítéséhez.
  3. Egy nem meghatározott hiba kihasználható más felhasználó jelszavának megváltoztatásához
  4. Egy nem meghatározott hiba kihasználható egyes, eredetileg korlátozott műveletek végrehajtásához.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  5. Egy nem részletezett bemenet nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjében, az érintett weboldal környezetében.
  6. Egy nem meghatározott hibát kihasználva tetszőleges parancsok küldhetők az adminisztrációs konzolnak, így pl. új felhasználók hozhatók létre.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  7. Egy nem meghatározott hiba kihasználható tetszőleges parancsok futtatásához Unix / Linux alapú erőforrás átalakítókon (adapter).
  8. Egy nem meghatározott hiba kihasználható az IDM rendszer konfigurációs adatainak megváltoztatásához.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: sunsolve.sun.com
SECUNIA 34380

Legfrissebb sérülékenységek
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
CVE-2025-34026 – Versa Concerto Improper Authentication sérülékenység
CVE-2025-68645 – Synacor Zimbra Collaboration Suite (ZCS) PHP Remote File Inclusion sérülékenység
CVE-2026-20045 – Cisco Unified Communications Products Code Injection sérülékenység
CVE-2026-22844 – Zoom Node Multimedia Routers sérülékenysége
CVE-2025-14533 – WordPress ACF Extended Plugin sérülékenysége
CVE-2026-23550 – WordPress Modular DS plugin Privilege Escalation sérülékenysége
CVE-2023-31096 – Windows Agere Soft Modem Driver Elevation of Privilege sérülékenység
CVE-2026-21265 – Secure Boot Certificate Expiration Security Feature Bypass sérülékenység
Tovább a sérülékenységekhez »