Sun Java System Identity Manager töbszörös sérülékenység


2009. március 19. 23:00

CH azonosító

CH-2046

Felfedezés dátuma

2009.03.19.

Súlyosság

Magas

Érintett rendszerek

Java System Identity Manager
Sun Microsystems

Érintett verziók

Sun Microsystems Java System Identity Manager 7.0, 7.1, 7.1.1, 8.0

Összefoglaló

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

Leírás

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

  1. Egy nem meghatározott hiba titkosítatlan kommunikációt eredményezhet a kliensek és az IDM szerver között
  2. Egy nem meghatározott hiba kihasználható az érvényes felhasználói fiókok megjelenítéséhez.
  3. Egy nem meghatározott hiba kihasználható más felhasználó jelszavának megváltoztatásához
  4. Egy nem meghatározott hiba kihasználható egyes, eredetileg korlátozott műveletek végrehajtásához.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  5. Egy nem részletezett bemenet nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjében, az érintett weboldal környezetében.
  6. Egy nem meghatározott hibát kihasználva tetszőleges parancsok küldhetők az adminisztrációs konzolnak, így pl. új felhasználók hozhatók létre.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  7. Egy nem meghatározott hiba kihasználható tetszőleges parancsok futtatásához Unix / Linux alapú erőforrás átalakítókon (adapter).
  8. Egy nem meghatározott hiba kihasználható az IDM rendszer konfigurációs adatainak megváltoztatásához.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: sunsolve.sun.com
SECUNIA 34380

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »