CH azonosító
CH-8488Angol cím
IBM InfoSphere DataStage Information Server Web Console Script Insertion VulnerabilitiesFelfedezés dátuma
2013.02.14.Súlyosság
AlacsonyÖsszefoglaló
Az IBM InfoSphere DataStage több sérülékenysége vált ismertté, amelyeket kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat indíthatnak.
Leírás
Az Information Server Web Console-ban lévő LoggingViewAdmin.do részére különböző paramétereken keresztül átadott bemeneti adatok nincsenek megfelelően megtisztítva, mielőtt a felhasználó számára megjelenítésre kerülnének. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely a felhasználó böngészőjének munkamenetében kerül lefuttatásra a káros tartalom megtekintése közben.
Az érintett paraméterek listája:
- http://[host]/LoggingViewAdmin.do?HiddenNameWISDService
- http://[host]/LoggingViewAdmin.do?HiddenNameWISDOperation
- http://[host]/LoggingViewAdmin.do?HiddenNameWISDApplication
- http://[host]/LoggingViewAdmin.do?HiddenNameUser
- http://[host]/LoggingViewAdmin.do?HiddenNamePackage
- http://[host]/LoggingViewAdmin.do?HiddenNameISFRequestId
- http://[host]/LoggingViewAdmin.do?HiddenNameDSWave
- http://[host]/LoggingViewAdmin.do?HiddenNameDSTemplate
- http://[host]/LoggingViewAdmin.do?HiddenNameDSSeverity
- http://[host]/LoggingViewAdmin.do?HiddenNameDSSequence
- http://[host]/LoggingViewAdmin.do?HiddenNameDSProject
- http://[host]/LoggingViewAdmin.do?HiddenNameDSLoginName
- http://[host]/LoggingViewAdmin.do?HiddenNameDSJob
- http://[host]/LoggingViewAdmin.do?HiddenNameDSInvocation
- http://[host]/LoggingViewAdmin.do?HiddenNameDSHostName
- http://[host]/LoggingViewAdmin.do?HiddenNameDSArguments
- http://[host]/LoggingViewAdmin.do?HiddenNameArchive
A sérülékenységeket a 8.5 verzióban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.ibm.com
SECUNIA 52187