IBM Lotus Mobile Connect sérülékenységek

CH azonosító

CH-4141

Angol cím

IBM Lotus Mobile Connect Multiple Vulnerabilities

Felfedezés dátuma

2010.12.26.

Súlyosság

Közepes

Érintett rendszerek

IBM
Lotus Mobile Connect

Érintett verziók

IBM Lotus Mobile Connect 6.x

Összefoglaló

Az IBM Lotus Mobile Connect több sérülékenységét jelentették, amiket kihasználva, fizikai hozzáféréssel rendelkező támadók megkerülhetik a biztonsági korlátozásokat, valamint távoli támadók szolgáltatás megtagadást okozhatnak.

Leírás

 

  1. A Connection Manager nem megfelelően törli az LTPA token-t azután, hogy a felhasználó a “Logoff” gombot megnyomva kijelentkezik az alkalmazásból. Ezt kihasználva, meg lehet kerülni a hitelesítést. A hiba sikeres kihasználásához szükséges, hogy egy támadónak hozzáférése legyen egy gazdátlan klienshez.
  2. A Connection Manager nem megfelelően kezeli a hibás HTTP-TCP alapú Mobile Network Connections (MNC) kapcsolódási kísérleteket, amit kihasználva, a memória teljes felhasználását lehet előidézni, az pedig a rendszer összeomlását okozza.
  3. A Connection Manager referencia számlálójának hibája miatt, az azonos VPN ID-vel ismétlődő belépési kísérletek közben az aktív session-ök közt deszinkronizáció lép fel, ez pedig az elérhető dinamikus IP címtartomány teljes felhasználásához vezet.

Megoldás

Telepítse a javítócsomagokat