CH azonosító
CH-5628Angol cím
IBM WebSphere Application Server Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2011.09.25.Súlyosság
AlacsonyÉrintett rendszerek
IBMWebSphere Application Server
Érintett verziók
IBM WebSphere Application Server 8.0.x
Összefoglaló
Az IBM WebSphere Application Server egy sérülékenységét jelentették, amit kihasználva a támadók cross-site kérés hamisítás (XSRF – cross-site request forgery) támadást indíthatnak.
Leírás
Az alkalmazás lehetőve teszi, hogy bizonyos műveleteket HTTP kérések útján végezzenek el anélkül, hogy bármiféle hitelesítésen átmenne a kérés. Ezt kihasználva nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett felhasználó meglátogat egy rosszindulatú weboldalt.
A sérülékenységet a 8.0.0.1 előtti kiadásokban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
SECUNIA 46154