CH azonosító
CH-7984Angol cím
IBM WebSphere DataPower XC10 Denial of Service and Security BypassFelfedezés dátuma
2012.11.20.Súlyosság
AlacsonyÉrintett rendszerek
IBMWebSphere DataPower XC10 Appliance
Érintett verziók
IBM WebSphere DataPower XC10 2.x
Összefoglaló
Az IBM WebSphere DataPower XC10 több sérülékenységét jelentették, amit kihasználva a rosszindulatú felhasználók megkerülhetnek egyes biztonsági szabályokat, illetve a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- Egyes menedzsment interfészkehez történő hozzáférés nincs megfelelően korlátozva, amit kihasználva le lehet állítani a szerver folyamatait.
- Bizonyos adminisztratív funkciók nem megfelelően vannak szabályozva, amit ki lehet használni JMX műveletekkel.
A megosztott titkos kulcsot használó server-to-server kommunikációban is találtak egy sérülékenységet
A sérülékenységeket a 2.0.0.0 és a 2.0.0.3 illetve a 2.1.0.0 és 2.1.0.2 közti verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.ibm.com
CVE-2012-5756 - NVD CVE-2012-5756
CVE-2012-5758 - NVD CVE-2012-5758
CVE-2012-5759 - NVD CVE-2012-5759
SECUNIA 51319