CH azonosító
CH-7303Angol cím
IBM Rational Directory Server GSKit Certificate Object Spoofing Security IssueFelfedezés dátuma
2012.07.30.Súlyosság
AlacsonyÉrintett rendszerek
IBMRational Directory Server
Érintett verziók
IBM Global Security Toolkit (GSKit) 7.x, 8.x
IBM Rational Directory Server 5.x
IBM Tivoli Access Manager for e-business 6.x
Összefoglaló
Az IBM Rational Directory Server két sérülékenységét jelentették, amelyeket kihasználva a támadók hamisításos támadást indíthatnak és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- Az IBM Global Security Kit (GSKit) által végzett, a hozzáadott Certificate Objects-ek nem megfelelő ellenőrzése miatti hibát kihasználva valós szervereket lehet hamisítani, és például Man-in-the-Middle (MitM) támadásokat lehet indítani.
- Az IBM Global Security Kit (GSKit) nem megfelelően ellenőrzi a bejövő adatokat, miközben a Vaudenay SSL CBC Timing típusú támadások ellen védekezik. Ezt kihasználva a rendszer összeomlását lehet előidézni.
A sérülékenységeket az 5.2.0.2 és 5.2.0.1, valamint az olyan 5.2 verziókban jelentették, amelyek a 8.0.14.22 előtti GSKit kiadásokat használnak.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.ibm.com
CVE-2012-2191 - NVD CVE-2012-2191
CVE-2012-2203 - NVD CVE-2012-2203
SECUNIA 50069