IBM Rational ClearQuest többszörös sérülékenység


2008. december 1. 23:00

CH azonosító

CH-1773

Felfedezés dátuma

2008.12.01.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Rational ClearQuest

Érintett verziók

IBM Rational ClearQuest 7.x

Összefoglaló

Az IBM Rational ClearQuest számos sérülékenységét jelentették, melyet rosszindulatú helyi felhasználók érzékeny információk kiszivárogtatására, továbbá rosszindulatú támadók érzékeny adatok feltárására, illetve cross-site scripting támadás indítására használhatnak ki.

Leírás

Az IBM Rational ClearQuest számos sérülékenységét jelentették, melyet rosszindulatú helyi felhasználók érzékeny információk kiszivárogtatására, továbbá rosszindulatú támadók érzékeny adatok feltárására, illetve cross-site scripting támadás indítására használhatnak ki.

  1. Bizonyos nem meghatározott bevitel nincs megfelelően megtisztítva, mielőtt visszakerülne a felhasználóhoz. Ez tetszőleges HTML és script kód végrehajtására használható a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.

  2. Az SQL kapcsolatok feldolgozásakor fellépő hiba érzékeny információk kiszivárogtatására használható

  3. Bizonyos érzékeny információ tárolása jelszó szerkesztő dobozokban történik. Ezt kihasználva pl. felhasználó és adatbázis jelszavak feltárására lehetséges.

  4. Bizonyos érzékeny adatok tárolása titkosítás nélkül történik a kapcsolati profil szerkesztésekor a karbantartó eszközben (maintenance tool). Ez pl. adatbázis jelszavak megszerzésére használható ki a memóriában lévő objetumok elérésével.

Megoldás

Frissítsen a 7.1 verzióra.

Az 1-es számú, valamint a 3-as számú sérülékenységek a 7.0.0.4 és a 7.0.1.3 verzióban már javításra kerültek.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 32847
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
CVE-2008-5324 - NVD CVE-2008-5324
CVE-2008-5325 - NVD CVE-2008-5325
CVE-2008-5326 - NVD CVE-2008-5326
CVE-2008-5327 - NVD CVE-2008-5327
CVE-2008-5328 - NVD CVE-2008-5328
CVE-2008-5329 - NVD CVE-2008-5329

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
CVE-2019-9874 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
Tovább a sérülékenységekhez »