CH azonosító
CH-12175Angol cím
IBM WebSphere Portal patchFelfedezés dátuma
2015.04.23.Súlyosság
KözepesÉrintett rendszerek
IBMWebSphere Portal
Érintett verziók
IBM WebSphere Portal 6.x
IBM WebSphere Portal 7.x
IBM WebSphere Portal 8.x
Összefoglaló
Az IBM WebSphere Portal számos sérülékenységtől vált meg. A legutóbbi frissítések telepítésével olyan hibákat lehet megszüntetni, amelyek jogosulatlan műveletvégrehajtásra, adatlopásra, valamint XSS és DoS támadásokra is módot adhatnak.
Leírás
Az egyik sebezhetőség speciálisan összeállított adatok feldolgozásakor ahhoz vezethet, hogy az alkalmazás sérülékeny komponense felemészti a rendszerben elérhető összes szabad memóriát.
A másik biztonsági hiba a HTML kódok, tartalmak esetenkénti nem megfelelő ellenőrzésére vezethető vissza, ami végül tetszőleges HTML és script kódok futtatását eredményezheti. Ehhez a támadónak egy speciálisan összeállított linkre való kattintásra kell rávennie a felhasználót.
Megoldás
A kiadott frissítések telepítése (APAR PI37356, PI37661).
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Manipulation of data
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-304.ibm.com
Egyéb referencia: isbk.hu
CVE-2015-1886 - NVD CVE-2015-1886
CVE-2015-1908 - NVD CVE-2015-1908