CH azonosító
CH-13828Angol cím
IBM InfoSphere vulnerabilitiesFelfedezés dátuma
2017.01.09.Súlyosság
KözepesÉrintett rendszerek
IBMInfoSphere DataStage
InfoSphere Information Server
Érintett verziók
IBM InfoSphere 8.7, 9.1, 11.3, 11.5
Összefoglaló
Az IBM InfoSphere Information Server és IBM InfoSphere DataStage közepes kockázati besorolású sérülékenységei váltak ismertté, amelyeket kihasználva cross-site scripting támadás (CSS) indítható. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
Az IBM InfoSphere Information Server nem ellenőrzi helyesen a CSS kódot. A támadó úgy tudja kihasználni a sérülékenységet, hogy ‘qirks’ módban fordítja le az oldalt a tetszőleges CSS kóddal, ami tartalmazhat káros script kódot is. A célpont böngészőjében a káros kód az IBM InfoSphere Information Server jogosultságaival megegyezően fut le, amivel a támadó megszerezheti a célpont sütijeit (a belépésre jogosítókat is), majd a célpont nevében tevékenykedhet.
Az IBM InfoSphere DataStage nem ellenőrzi helyesen a beküldött HTML kódot, mielőtt megjeleníti azt. A távoli támadó a sérülékenységet kihasználva káros script kódot futtathat a célpont böngészőjében. A káros kód az IBM InfoSphere DataStage jogosultságaival megegyezően fut le, amivel a támadó megszerezheti a célpont sütijeit (a belépésre jogosítókat is), majd a célpont nevében tevékenykedhet.
Megoldás
Telepítse a javítócsomagokat: APAR JR56946, APAR JR56951
Támadás típusa
Cross Site Scripting (XSS/CSS)Input Validation
execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.securitytracker.com
Gyártói referencia: www.securitytracker.com
CVE-2016-8999 - NVD CVE-2016-8999
CVE-2016-9000 - NVD CVE-2016-9000
