CH azonosító
CH-7074Angol cím
IBM System Storage Products Storage Manager Cross-Site Scripting and SQL Injection VulnerabilitiesFelfedezés dátuma
2012.06.20.Súlyosság
AlacsonyÉrintett rendszerek
DS4700 0.xIBM
System Storage
TotalStorage
Érintett verziók
IBM System Storage DCS3700, DS3200, DS3300, DS3400, DS3512, DS3950, DS4200, DS4300, DS4500, DS4800, DS5020, DS5100, DS5300
IBM TotalStorage DS4100 (formerly FAStT100)
IBM TotalStorage DS4400 Midrange Disk System
IBM DS4700 0.x
Összefoglaló
Az IBM System Storage termékek két olyan sérülékenységét jelentették, amelyeket a támadók kihasználva cross-site scripting (XSS/CSS) és SQL befecskendezéses (SQL Injection) támadásokat hajthatnak végre.
Leírás
- Az “updateRegn” paraméter által a SoftwareRegistration.do részéreátadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt visszaadásra kerülnének. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- A “selectedModuleOnly” paraméter által a ModuleServlet.do részére átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt SQL lekérdezésekben felhasználásra kerülnének. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kódok befecskendezésével.
A sérülékenységeket az IBM System Storage DS Storage Manager 10.83.xx.18 előtti verziókban jelentették.
Az érintett rendszerek teljes listájáért olvassa el a gyártó bejelentését!
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
Egyéb referencia: www.zeroscience.mk
SECUNIA 49582
CVE-2012-2171 - NVD CVE-2012-2171
CVE-2012-2172 - NVD CVE-2012-2172
