IBM Infosphere Guardium sérülékenységek

CH azonosító

CH-7473

Angol cím

IBM Infosphere Guardium Cross-Site Request Forgery and Information Disclosure Vulnerabilities

Felfedezés dátuma

2012.08.28.

Súlyosság

Alacsony

Érintett rendszerek

IBM
InfoSphere Guardium

Érintett verziók

IBM InfoSphere Guardium 8.x

Összefoglaló

Az IBM Infosphere Guardium két sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek, illetve támadók cross-site request forgery (XSRF/XSRF) támadásokat hajthatnak végre.

Leírás

  1. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva, létre lehet hozni egy adminisztrátor fiókot, ha egy bejelentkezett adminisztrátor meglátogat egy speciálisan elkészített weboldalt.
  2. Az alkalmazás egyszerű szövegként tárolja az adatbázis hozzáféréseket, amit kihasználva, meg lehet szerezni a fiók adatokat az adatforrás definíció szerkesztővel (datasource definition editor). A hiba sikeres kihasználásához szükséges, hogy a “save password” engedélyezve legyen.

A sérülékenységeket a 8.2 és korábbi kiadásokban jelentették.

Megoldás

Engedélyezze a CSRF szűrőt, és telepítse a javítócsomagot!