Összefoglaló
A Novell Identity Manager néhány sérülékenységét jelentették, melyet kihasználva támadók cross-site scripting támadásokat indíthatnak.
Leírás
A Novell Identity Manager néhány sérülékenységét jelentették, melyet kihasználva támadók cross-site scripting támadásokat indíthatnak.
- A “Page Navigation”-hez kapcsolódó ismeretlen paraméterekhez rendelt bevitel nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz.
Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngészőjének munkamenetében kerül végrehajtásra az érintett oldallal kapcsolatosan. - A “UIQuery”-hez kapcsolódó ismeretlen paraméterekhez rendelt bevitel nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz.
Ez kihasználható tetszőleges HTML és script kód beszúrására, mely a felhasználó böngészőjének munkamenetében kerül végrehajtásra az érintett oldallal kapcsolatosan.
A sérülékenységeket a Novell Identity Manager User Application 3.0.1, 3.5.0, és 3.5.1 valamint a Novell Identity Manager Roles Based
Provisioning Module 3.6.0 (User Application 3.6.0) és a 3.6.1-es (User Application 3.6.1) verzióiban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.novell.com
Gyártói referencia: support.novell.com
Gyártói referencia: support.novell.com
Gyártói referencia: support.novell.com
Gyártói referencia: support.novell.com
SECUNIA 33228