IBM Rational Directory Server GSKit sérülékenységek

CH azonosító

CH-7303

Angol cím

IBM Rational Directory Server GSKit Certificate Object Spoofing Security Issue

Felfedezés dátuma

2012.07.30.

Súlyosság

Alacsony

Érintett rendszerek

IBM
Rational Directory Server

Érintett verziók

IBM Global Security Toolkit (GSKit) 7.x, 8.x
IBM Rational Directory Server 5.x
IBM Tivoli Access Manager for e-business 6.x

Összefoglaló

Az IBM Rational Directory Server két sérülékenységét jelentették, amelyeket kihasználva a támadók hamisításos támadást indíthatnak és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

  1. Az IBM Global Security Kit (GSKit) által végzett, a hozzáadott Certificate Objects-ek nem megfelelő ellenőrzése miatti hibát kihasználva valós szervereket lehet hamisítani, és például Man-in-the-Middle (MitM) támadásokat lehet indítani.
  2. Az IBM Global Security Kit (GSKit) nem megfelelően ellenőrzi a bejövő adatokat, miközben a Vaudenay SSL CBC Timing típusú támadások ellen védekezik. Ezt kihasználva a rendszer összeomlását lehet előidézni.

A sérülékenységeket az 5.2.0.2 és 5.2.0.1, valamint az olyan 5.2 verziókban jelentették, amelyek a 8.0.14.22 előtti GSKit kiadásokat használnak.

Megoldás

Frissítsen a legújabb verzióra