Érintett rendszerek
IBMWebSphere Partner Gateway
Érintett verziók
IBM WebSphere Partner Gateway 6.0.0 - 6.0.7, 6.1.0 - 6.1.0.2, 6.1.1 - 6.1.1.1, 6.2.0
Összefoglaló
Egy sérülékenységet jelentettek az IBM WebSphere Partner Gateway szoftverben, amelyet a rosszindulatú felhasználók kihasználhatnak SQL befecskendezéses támadások végrehajtásához.
Leírás
Egy sérülékenységet jelentettek az IBM WebSphere Partner Gateway szoftverben, amelyet a rosszindulatú felhasználók kihasználhatnak SQL befecskendezéses támadások végrehajtásához.
A WebSphere Partner Gateway konzolon keresztül átadott bemenet nincs megfelelően megtisztítva, mielőtt Oracle és DB2 adatbázisokban, SQL lekérdezésekben használnák.
Ez kihasználható az SQL lekérdezések módosítására, tetszőleges kód befecskendezésével.
Megoldás
Használja a javítócsomagot vagy az APAR megoldásokat.
WebSphere Partner Gateway 6.0:
Használja a legfrissebb javítócsomagot (WPG 6.0 FP8 vagy újabbat) vagy alkalmazza az APAR JR32608 javítást.
WebSphere Partner Gateway 6.1:
Használja a legfrissebb javítócsomagot (WPG 6.1 FP3, WPG 6.1.1 FP2 vagy újabbat) vagy alkalmazza az APAR JR32609 vagy APAR JR32386 javítást.
WebSphere Partner Gateway 6.2:
Használja a legfrissebb javítócsomagot (WPG 6.2 FP1 vagy újabbat) vagy alkalmazza az APAR JR32607 (JR33176) javítást.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: xforce.iss.net
Gyártói referencia: www-01.ibm.com
SECUNIA 36295
CVE-2009-2093 - NVD CVE-2009-2093