IBM Rational ClearQuest többszörös sérülékenység

CH azonosító

CH-1773

Felfedezés dátuma

2008.12.01.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Rational ClearQuest

Érintett verziók

IBM Rational ClearQuest 7.x

Összefoglaló

Az IBM Rational ClearQuest számos sérülékenységét jelentették, melyet rosszindulatú helyi felhasználók érzékeny információk kiszivárogtatására, továbbá rosszindulatú támadók érzékeny adatok feltárására, illetve cross-site scripting támadás indítására használhatnak ki.

Leírás

Az IBM Rational ClearQuest számos sérülékenységét jelentették, melyet rosszindulatú helyi felhasználók érzékeny információk kiszivárogtatására, továbbá rosszindulatú támadók érzékeny adatok feltárására, illetve cross-site scripting támadás indítására használhatnak ki.

  1. Bizonyos nem meghatározott bevitel nincs megfelelően megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ez tetszőleges HTML és script kód végrehajtására használható a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. Az SQL kapcsolatok feldolgozásakor fellépő hiba érzékeny információk kiszivárogtatására használható
  3. Bizonyos érzékeny információ tárolása jelszó szerkesztő dobozokban történik. Ezt kihasználva pl. felhasználó és adatbázis jelszavak feltárására lehetséges.
  4. Bizonyos érzékeny adatok tárolása titkosítás nélkül történik a kapcsolati profil szerkesztésekor a karbantartó eszközben (maintenance tool). Ez pl. adatbázis jelszavak megszerzésére használható ki a memóriában lévő objetumok elérésével.

Megoldás

Frissítsen a 7.1 verzióra.

Az 1-es számú, valamint a 3-as számú sérülékenységek a 7.0.0.4 és a 7.0.1.3 verzióban már javításra kerültek.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »