IBM Rational Directory Server GSKit sérülékenységek

CH azonosító

CH-7303

Angol cím

IBM Rational Directory Server GSKit Certificate Object Spoofing Security Issue

Felfedezés dátuma

2012.07.30.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Rational Directory Server

Érintett verziók

IBM Global Security Toolkit (GSKit) 7.x, 8.x
IBM Rational Directory Server 5.x
IBM Tivoli Access Manager for e-business 6.x

Összefoglaló

Az IBM Rational Directory Server két sérülékenységét jelentették, amelyeket kihasználva a támadók hamisításos támadást indíthatnak és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. Az IBM Global Security Kit (GSKit) által végzett, a hozzáadott Certificate Objects-ek nem megfelelő ellenőrzése miatti hibát kihasználva valós szervereket lehet hamisítani, és például Man-in-the-Middle (MitM) támadásokat lehet indítani.
  2. Az IBM Global Security Kit (GSKit) nem megfelelően ellenőrzi a bejövő adatokat, miközben a Vaudenay SSL CBC Timing típusú támadások ellen védekezik. Ezt kihasználva a rendszer összeomlását lehet előidézni.

A sérülékenységeket az 5.2.0.2 és 5.2.0.1, valamint az olyan 5.2 verziókban jelentették, amelyek a 8.0.14.22 előtti GSKit kiadásokat használnak.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »