CH azonosító
CH-7473Angol cím
IBM Infosphere Guardium Cross-Site Request Forgery and Information Disclosure VulnerabilitiesFelfedezés dátuma
2012.08.28.Súlyosság
AlacsonyÖsszefoglaló
Az IBM Infosphere Guardium két sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek, illetve támadók cross-site request forgery (XSRF/XSRF) támadásokat hajthatnak végre.
Leírás
- Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva, létre lehet hozni egy adminisztrátor fiókot, ha egy bejelentkezett adminisztrátor meglátogat egy speciálisan elkészített weboldalt.
- Az alkalmazás egyszerű szövegként tárolja az adatbázis hozzáféréseket, amit kihasználva, meg lehet szerezni a fiók adatokat az adatforrás definíció szerkesztővel (datasource definition editor). A hiba sikeres kihasználásához szükséges, hogy a “save password” engedélyezve legyen.
A sérülékenységeket a 8.2 és korábbi kiadásokban jelentették.
Megoldás
Engedélyezze a CSRF szűrőt, és telepítse a javítócsomagot!
Támadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
Gyártói referencia: www.ibm.com
CVE-2012-3309 - NVD CVE-2012-3309
CVE-2012-3312 - NVD CVE-2012-3312
SECUNIA 50371