Sun Java System Identity Manager töbszörös sérülékenység


2009. március 19. 23:00

CH azonosító

CH-2046

Felfedezés dátuma

2009.03.19.

Súlyosság

Magas

Érintett rendszerek

Java System Identity Manager
Sun Microsystems

Érintett verziók

Sun Microsystems Java System Identity Manager 7.0, 7.1, 7.1.1, 8.0

Összefoglaló

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

Leírás

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

  1. Egy nem meghatározott hiba titkosítatlan kommunikációt eredményezhet a kliensek és az IDM szerver között
  2. Egy nem meghatározott hiba kihasználható az érvényes felhasználói fiókok megjelenítéséhez.
  3. Egy nem meghatározott hiba kihasználható más felhasználó jelszavának megváltoztatásához
  4. Egy nem meghatározott hiba kihasználható egyes, eredetileg korlátozott műveletek végrehajtásához.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  5. Egy nem részletezett bemenet nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjében, az érintett weboldal környezetében.
  6. Egy nem meghatározott hibát kihasználva tetszőleges parancsok küldhetők az adminisztrációs konzolnak, így pl. új felhasználók hozhatók létre.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  7. Egy nem meghatározott hiba kihasználható tetszőleges parancsok futtatásához Unix / Linux alapú erőforrás átalakítókon (adapter).
  8. Egy nem meghatározott hiba kihasználható az IDM rendszer konfigurációs adatainak megváltoztatásához.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: sunsolve.sun.com
SECUNIA 34380

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »