Összefoglaló
Az IBM Tivoli Directory Server számos sebezhetőség miatt szorul frissítésre. Ezek a hibák jogosulatlan kódfuttatásra és rendszerhozzáférésre adhatnak módot, ami bizalmas adatok szivárgásához is hozzájárulhat.
Leírás
A fejlesztők az alábbi rendellenességeket szüntették meg:
- XSS-sérülékenységek, amik tetszőleges HTML és script kódok futtatását tehetik lehetővé.
- Hiba a HTTP POST kérések feldolgozásában.
- Fájlok le-, illetve feltöltésével kapcsolatos ellenőrzési hiányosságok.
- Sebezhetőség a webes adminisztrációs eszközben, ami tetszőleges parancsok végrehajtását segítheti elő.
- Cache-ben tárolt weboldalakhoz való jogosulatlan hozzáférés.
- RC4-kódolási problémák (TLS).
Megoldás
Az IBM által kiadott frissítések telepítése:
6.0 iFix 75
6.1 iFix 68
6.2 iFix 44
6.3 iFix 37
6.3.1 iFix 11
6.4 iFix 2
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
execute code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
CVE-2015-1959 - NVD CVE-2015-1959
CVE-2015-1972 - NVD CVE-2015-1972
CVE-2015-1974 - NVD CVE-2015-1974
CVE-2015-1978 - NVD CVE-2015-1978
CVE-2015-2019 - NVD CVE-2015-2019
CVE-2015-2808 - NVD CVE-2015-2808
Egyéb referencia: isbk.hu