CH azonosító
CH-11201Angol cím
IBM Sametime Meeting Server Multiple VulnerabilitiesFelfedezés dátuma
2014.05.29.Súlyosság
AlacsonyÉrintett rendszerek
IBMLotus Sametime
Érintett verziók
IBM Lotus Sametime 8.x
IBM Lotus Sametime 9.x
Összefoglaló
Az IBM Sametime többszörös sérülékenysége vált ismertté, melyet kihasználva a támadók cross-site scripting támadást hajthatnak végre, hozzájuthatnak bizonyos rendszerinformációkhoz, megkerülhetnek bizonyos biztonsági szabályokat és DoS támadást indíthatnak.
Leírás
- A program a hozzáféréskor nem megfelelően végzi a felhasználói azonosítást, ezt kihasználva hozzáférhetnek a felhasználók felhasználónevéhez, a teljes névhez és az e-mailcímhez.
- A program nem megfelelően végzi a felhasználói azonosítást, ezt kihasználva nyilvánosságra kerülhet, hogy mely tárgyaló melyik felhasználó tulajdona.
- A tárgyalótermek kezelése közben egy hiba miatt DoS támadás okozható.
- A program a hozzáféréskor nem megfelelően végzi a felhasználói azonosítást, ezt kihasználva hozzáférhetnek a felhasználók fényképeihez és felhasználói fiókjához.
- Bizonyos oldalakon a program nyilvánosságra hozhat bizonyos telepítési információkat.
- A program a Apache Commons FileUpload egy sérülékeny verzióját is tartalmazza.
Megoldás
Telepítse a javított verziót.
Támadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2013-3975 - NVD CVE-2013-3975
CVE-2013-3977 - NVD CVE-2013-3977
CVE-2013-3980 - NVD CVE-2013-3980
CVE-2013-3981 - NVD CVE-2013-3981
CVE-2013-3982 - NVD CVE-2013-3982
CVE-2014-0050 - NVD CVE-2014-0050
CVE-2014-3014 - NVD CVE-2014-3014
SECUNIA 58670
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com