ThinkVantage System Update hiányzó SSL tanúsítvány lánc ellenőrzése

2008. május 25. 22:00

CH azonosító

CH-1259

Felfedezés dátuma

2008.05.25.

Súlyosság

Közepes

Érintett rendszerek

IBM
ThinkVantage System Update

Érintett verziók

IBM ThinkVantage System Update 2.x

Összefoglaló

A ThinkVantage System Update biztonsági rését jelezték, melyet rosszindulatú támadók megtévesztéses támadások kezdeményezésére használhatnak.

Leírás

A ThinkVantage System Update biztonsági rését jelezték, melyet rosszindulatú támadók megtévesztéses támadások kezdeményezésére használhatnak.

A probléma oka az, hogy az alkalmazás nem végez SSL tanúsítvány lánc ellenőrzést az update szerverhez való kapcsolódáskor.

A sikeres kiaknázás lehetővé teszi például rosszindulatú programok letöltését és futtatását, de szükséges hozzá, hogy az alkalmazás kapcsolódjon egy rosszindulatú update szerverhez, mely egy különlegesen kialakított X.509 tanúsítványt szolgáltat (például DNS mérgezés során).

A biztonsági rést a 3.13.0005 verzióra jelentették. Más verziók is érintettek lehetnek.

Legfrissebb sérülékenységek

CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége

CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége

CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége

CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége

CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége

CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége

CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége

CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége

CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége

CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége

Tovább a sérülékenységekhez »

ThinkVantage System Update hiányzó SSL tanúsítvány lánc ellenőrzése