CH azonosító
CH-7486Angol cím
IBM Rational AppScan / Rational Policy Tester Multiple VulnerabilitiesFelfedezés dátuma
2012.08.29.Súlyosság
KözepesÉrintett rendszerek
IBMRational Policy Tester
Security AppScan
Érintett verziók
IBM Rational AppScan 8.x
IBM Rational Policy Tester 8.x
Összefoglaló
Az IBM Rational AppScan és Rational Policy olyan sérülékenységei váltak ismertté, amelyeket kihasználva rosszindulatú felhasználók megszerezhetnek bizonyos információkat, támadók pedig megkerülhetnek bizonyos biztonsági korlátozásokat, cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani, bizalmas információkat szerezhetnek meg, feltörhetik a felhasználó munkamenetét, DNS cache mérgezéses (DNS cache poisoning) támadásokat tudnak végrehajtani, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni és feltörhetik a sérülékeny rendszert.
Leírás
- A függvényváltozók használatában lévő nem részletezett hibát kihasználva tetszőleges kódot lehet futtatni.
- Több sérülékenység oka az Apache Tomcat egy sérülékeny verziójának használata, amelyekről az alábbi hivatkozásokon található bővebb informcáió:
CERT-Hungary CH-4311
CERT-Hungary CH-5107
CERT-Hungary CH-5186
CERT-Hungary CH-5378
CERT-Hungary CH-5468 - Több sérülékenység oka a Java egy sérülékeny verziójának használata, amelyekről az alábbi hivatkozáson található bővebb informcáió:
CERT- Hungary CH-5792
A sérülékenységek a következő termékekben jelentették:
- IBM Rational AppScan Enterprise és IBM Rational AppScan Reporting Console 8.6.0.1 előtti verziók
- IBM Rational Policy Tester 8.5.0.2 előtti verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.ibm.com
CVE-2011-0013 - NVD CVE-2011-0013
CVE-2011-1184 - NVD CVE-2011-1184
CVE-2011-2204 - NVD CVE-2011-2204
CVE-2011-2526 - NVD CVE-2011-2526
CVE-2011-2729 - NVD CVE-2011-2729
CVE-2011-3190 - NVD CVE-2011-3190
CVE-2011-3389 - NVD CVE-2011-3389
CVE-2011-3516 - NVD CVE-2011-3516
CVE-2011-3521 - NVD CVE-2011-3521
CVE-2011-3544 - NVD CVE-2011-3544
CVE-2011-3545 - NVD CVE-2011-3545
CVE-2011-3546 - NVD CVE-2011-3546
CVE-2011-3547 - NVD CVE-2011-3547
CVE-2011-3548 - NVD CVE-2011-3548
CVE-2011-3549 - NVD CVE-2011-3549
CVE-2011-3550 - NVD CVE-2011-3550
CVE-2011-3551 - NVD CVE-2011-3551
CVE-2011-3552 - NVD CVE-2011-3552
CVE-2011-3553 - NVD CVE-2011-3553
CVE-2011-3554 - NVD CVE-2011-3554
CVE-2011-3555 - NVD CVE-2011-3555
CVE-2011-3556 - NVD CVE-2011-3556
CVE-2011-3557 - NVD CVE-2011-3557
CVE-2011-3558 - NVD CVE-2011-3558
CVE-2011-3560 - NVD CVE-2011-3560
CVE-2011-3561 - NVD CVE-2011-3561
CVE-2011-5062 - NVD CVE-2011-5062
CVE-2011-5063 - NVD CVE-2011-5063
CVE-2011-5064 - NVD CVE-2011-5064
CERT-Hungary CH-4311
CERT-Hungary CH-5107
CERT-Hungary CH-5186
CERT-Hungary CH-5378
CERT-Hungary CH-5468
CERT-Hungary CH-5792
SECUNIA 50395