CH azonosító
CH-7526Angol cím
IBM Maximo Asset Management Products Multiple VulnerabilitiesFelfedezés dátuma
2012.09.05.Súlyosság
AlacsonyÉrintett rendszerek
IBMMaximo Asset Management
Maximo Asset Management Essentials
SmartCloud Control Desk
Tivoli Asset Management for IT
Tivoli Change and Configuration Management Database
Tivoli Service Request Manager
Érintett verziók
IBM Maximo Asset Management 6.x, 7.x
IBM Maximo Asset Management Essentials 6.x, 7.x
IBM SmartCloud Control Desk 7.x
IBM Tivoli Asset Management for IT 6.x, 7.x
IBM Tivoli Change and Configuration Management Database 6.x, 7.x
IBM Tivoli Service Request Manager 7.x
Összefoglaló
Az IBM Maximo Asset Management termékek több sérülékenységét jelentették, amiket kihasználva a támadók cross-site scripting (XSS/CSS), cross-site request forgery (XSRF/CSRF), session fixation és SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre, illetve bizalmas adatokat szerezhetnek.
Leírás
- Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva nem részletezett műveleteket lehet végrehajtani, ha egy bejelentkezett felhasználó meglátogat egy káros tartalmú weboldalt.
- Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva az SQL lekérdezésben történő felhasználás előtt. Ezt kihasználva, módosítani lehet az SQL lekérdezést tetszőleges SQL kód befecskendezésével.
- Bizonyos nem részletezett bemeneti adat nem megfelelően van megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
- A munkamenetek kezelésében lévő hibát kihasználva el lehet téríteni egy másik felhasználó munkamenetét, ha az bejelentkezés előtt megnyit egy speciálisan elkészített hivatkozást.
- Egy nem részletezett hibát kihasználva bizalmas adatokat lehet szerezni. Jelenleg nem áll rendelkezésre több információ.
A sérülékenységeket az alábbi termékekben jelentették:
- IBM Maximo Asset Management 7.5, 7.1 és 6.2 verziók
- IBM Maximo Asset Management Essentials 7.5, 7.1 és 6.2 verziók
- IBM SmartCloud Control Desk 7.5 verzió
- IBM Tivoli Asset Management for IT 7.2, 7.1 és 6.2 verziók
- IBM Tivoli Service Request Manager 7.2 és 7.1 verziók
- IBM Maximo Service Desk 6.2 verzió
- IBM Change and Configuration Management Database 7.2 és 7.1 verziók
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Unspecified (Nem részletezett)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.ibm.com
CVE-2012-0714 - NVD CVE-2012-0714
CVE-2012-0727 - NVD CVE-2012-0727
CVE-2012-0728 - NVD CVE-2012-0728
CVE-2012-0746 - NVD CVE-2012-0746
CVE-2012-0747 - NVD CVE-2012-0747
CVE-2012-2183 - NVD CVE-2012-2183
CVE-2012-2184 - NVD CVE-2012-2184
CVE-2012-2185 - NVD CVE-2012-2185
CVE-2012-3313 - NVD CVE-2012-3313
CVE-2012-3326 - NVD CVE-2012-3326
SECUNIA 50551