IBM Maximo Asset Management termékek sérülékenységei

CH azonosító

CH-6496

Angol cím

IBM Maximo Asset Management Products Weakness and Multiple Vulnerabilities

Felfedezés dátuma

2012.03.06.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Maximo Asset Management
Maximo Asset Management Essentials

Érintett verziók

IBM Maximo Asset Management 6.x
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management Essentials 6.x
IBM Maximo Asset Management Essentials 7.x

Összefoglaló

Az IBM Maximo Asset Management és IBM Maximo Asset Management Essentials olyan gyengesége és sérülékenységei váltak ismertté, amelyeket kihasználva rosszindulatú felhasználók érzékeny információkat szivárogtathatnak ki és SQL befecskendezéses (SQL injection) támadásokat tudnak végrehajtani, továbbá a támadók hamisításos (spoofing), cross-site scripting (XSS/CSS) és cross-site kérés hamisításos (XSRF/CSRF) támadásokat tudnak végrehajtani és szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni.

Leírás

  1. A gyengeséget az okozza, hogy a névjegy opció a segítség menüből megjelenít egy egyébként korlátozott felhasználónevet.
  2. Az “uisessionid” paraméteren keresztül egy nem részletezett script részére átadott bemeneti adat nincs megfelelően ellenőrizve mielőtt az egy felhasználó átirányítására kerül felhasználásra. Ez kihasználható a felhasználók tetszőleges oldalra történő átirányítására.
  3. A “controlid” paraméteren keresztül az imicon.jsp részére és a “reportType” paraméteren keresztül egy nem részletezett script részére átadott bemeneti adat nincsen megfelelően tisztázva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
  4. Az “uisessionid” paraméteren keresztül a maximo.jsp részére átadott bemeneti adat nincsen megfelelően tisztázva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
  5. Egyes Start Center elrendezés és konfiguráció bementi adat nincsen megfelelően tisztázva a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében egy érintett oldallal kapcsolatosan.
  6. Az alkalmazás lehetővé teszi a felhasználók számára bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrzésre kerülne azok érvényessége. Ez kihasználható többek között web cache mérgezésre és cross-site scripting (XSS/CSS) támadások végrehajtására, ha a bejelentkezett megtévesztett felhasználó meglátogat egy speciálisan erre a célra elkészített weboldalt.
  7. Többszörös UI munkamenetek HTTP munkamenetben történő kezelésekor fellépő hiba kihasználható túlzottan nagy memória felhasználására és a kiszolgáló használhatatlanná tételére.
  8. Egyes a KPI komponens részére átadott bemeneti adat nincs megfelelően tisztázva az SQL lekérdezésekben történő használat előtt. Ez kihasználható az SQL lekérdezések módosítására tetszőleges SQL kód befecskendezésével.

A sérülékenységeket a 6.2, 7.1 és 7.5 verziókban jelentették.

Megoldás

Alkalmazza az APAR-t vagy az interim javítást.