CH azonosító
CH-10776Angol cím
IBM Cognos Express Weakness and Multiple VulnerabilitiesFelfedezés dátuma
2014.03.20.Súlyosság
MagasÉrintett rendszerek
Cognos ExpressIBM
Érintett verziók
IBM Cognos Express 10.x
IBM Cognos Express 9.x
Összefoglaló
Az IBM Cognos Express sérülékenységei váltak ismertté, amelyeket kihasználva a támadók bizalmas adatokat fedhetnek fel, cross-site request forgery támadásokat hajthatnak végre, szolgáltatás megtagadást idézhetnek elő és feltörhetik a sérülékeny rendszert.
Leírás
- Az alkalmazás lehetővé teszi a felhasználó számára, hogy HTTP kéréseken keresztül végezzen el bizonyos műveleteket a jogosultság megfelelő ellenőrzése nélkül. Ez kihasználható pl. bizonyos adminisztratív műveletek elvégzésére, amikor a bejelentkezett felhasználó meglátogat egy kártékony weboldalt.
- Egy nem részletezett, szerverrel kapcsolatos hiba kihasználható titkosított bejelentkezési adatok felfedésére.
- Az alkalmazás egy statikus titkosító kulcsot használ. Ez kihasználható bizalmas, titkosított adatok visszafejtésére. Az #1 – #3 sérülékenységek a 9.0, 9.5, 10.1 és 10.1.2 verziókat érintik.
- Az alkalmazás az IBM Java egy sérülékeny verzióját használja.
További információ az alábbi hivatkozásokon található:
SA52064 (#2, #5)
SA53846 (#20, #34) - Az alkalmazás az OpenSSL egy sérülékeny verzióját használja.
SA52036 (#1)
A 4, #5 sérülékenységek a 9.0, 9.5 és a 10.1 verziókat érintik.
Megoldás
Telepítse a javítócsomagokatHivatkozások
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
CVE-2013-0169 - NVD CVE-2013-0169
CVE-2013-1478 - NVD CVE-2013-1478
CVE-2013-1480 - NVD CVE-2013-1480
CVE-2013-2407 - NVD CVE-2013-2407
CVE-2013-2450 - NVD CVE-2013-2450
CVE-2013-5443 - NVD CVE-2013-5443
CVE-2013-5444 - NVD CVE-2013-5444
CVE-2013-5445 - NVD CVE-2013-5445
SECUNIA 57519