IBM Rational AppScan / Rational Policy Tester sérülékenységek

CH azonosító

CH-7486

Angol cím

IBM Rational AppScan / Rational Policy Tester Multiple Vulnerabilities

Felfedezés dátuma

2012.08.29.

Súlyosság

Közepes

Érintett rendszerek

IBM
Rational Policy Tester
Security AppScan

Érintett verziók

IBM Rational AppScan 8.x
IBM Rational Policy Tester 8.x

Összefoglaló

Az IBM Rational AppScan és Rational Policy olyan sérülékenységei váltak ismertté, amelyeket kihasználva rosszindulatú felhasználók megszerezhetnek bizonyos információkat, támadók pedig megkerülhetnek bizonyos biztonsági korlátozásokat, cross-site scripting (XSS/CSS) támadásokat tudnak végrehajtani, bizalmas információkat szerezhetnek meg, feltörhetik a felhasználó munkamenetét, DNS cache mérgezéses (DNS cache poisoning) támadásokat tudnak végrehajtani, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni és feltörhetik a sérülékeny rendszert.

Leírás

  1. A függvényváltozók használatában lévő nem részletezett hibát kihasználva tetszőleges kódot lehet futtatni.
  2. Több sérülékenység oka az Apache Tomcat egy sérülékeny verziójának használata, amelyekről az alábbi hivatkozásokon található bővebb informcáió:
    CERT-Hungary CH-4311
    CERT-Hungary CH-5107
    CERT-Hungary CH-5186
    CERT-Hungary CH-5378
    CERT-Hungary CH-5468
  3. Több sérülékenység oka a Java egy sérülékeny verziójának használata, amelyekről az alábbi hivatkozáson található bővebb informcáió:
    CERT- Hungary CH-5792

A sérülékenységek a következő termékekben jelentették:

  • IBM Rational AppScan Enterprise és IBM Rational AppScan Reporting Console 8.6.0.1 előtti verziók
  • IBM Rational Policy Tester 8.5.0.2 előtti verziók

Megoldás

Frissítsen a legújabb verzióra