CH azonosító
CH-11981Angol cím
IBM Security Appscan vulnerabilitiesFelfedezés dátuma
2015.02.03.Súlyosság
KözepesÉrintett rendszerek
IBMSecurity AppScan
Érintett verziók
IBM Security Appscan (8.6.0.0, 8.6.0.1, 8.5.0.0, 8.0.0.0, 8.5.0.1, 8.0.0.3, 8.0.0.2, 9.0.0.0, 9.0.0.1, 8.0.0.1, 8.8.0.0, 9.0.1.1, 8.7.0.1, 9.0.1.0, 8.7.0.0)
Összefoglaló
Az IBM Security AppScan Standard 8.x és 9.x (9.0.1.1 FP1 előtti) verzióiról több sérülékenység is nyilvánosságra került.
Leírás
A szoftver engedélyezi a titkosítatlan session-ök használatát, ezzel a támadók bizalmas adatokhoz férhetnek hozzá. Továbbá nem kezeli megfelelően a X.509 SSL tanusítványokat, ami közbeékelődéses támadást tesz lehetővé és szintén adatszivárgáshoz, bizalmas adatok komprommittálásához vezethet. Valamint kliens oldali böngésző-támadásokra is módot ad (például: “clickjacking”, azaz kattintás-eltérítés).
Megoldás
Frissítés a 9.0.1.1-es verzióra.
Támadás típusa
Crypthographical (Titkosítás)Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2014-6136 - NVD CVE-2014-6136
CVE-2014-8918 - NVD CVE-2014-8918
Gyártói referencia: www-933.ibm.com
Egyéb referencia: www-01.ibm.com
Egyéb referencia: www-01.ibm.com