Összefoglaló
Az IBM két sebezhetőséget orvosolt a Financial Transaction Manager kapcsán. A megszüntetett hibák elsősorban adatlopásra, illetve szolgáltatásmegtagadási támadásokra adhatnak módot.
Leírás
Az egyik biztonsági rés a Java egyik rendellenességére vezethető vissza. Ez a sérülékenység nem új keletű, ugyanis azt a fejlesztők már 2015 áprilisában javították az IBM Java SDK-ban.
A másik biztonsági rés sem ismeretlen: egy SSL/TLS kezelési hiányosságra vezethető vissza, és úgynevezett “Bar Mitzvah” típusú támadásokat tehet lehetővé az egyik RC4 algoritmus hibája miatt.
Megoldás
A következő patch-ek, frissítések telepítése:
3.0.0-FTM-ACH-MP-fp0005 vagy későbbi
3.0.0-FTM-Check-MP-fp0005 vagy későbbi
3.0.0-FTM-CPS-MP-fp0005 vagy későbbi.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
Egyéb referencia: isbk.hu
CVE-2015-0488 - NVD CVE-2015-0488
CVE-2015-2808 - NVD CVE-2015-2808