Sun Java System Identity Manager töbszörös sérülékenység


2009. március 19. 23:00

CH azonosító

CH-2046

Felfedezés dátuma

2009.03.19.

Súlyosság

Magas

Érintett rendszerek

Java System Identity Manager
Sun Microsystems

Érintett verziók

Sun Microsystems Java System Identity Manager 7.0, 7.1, 7.1.1, 8.0

Összefoglaló

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

Leírás

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

  1. Egy nem meghatározott hiba titkosítatlan kommunikációt eredményezhet a kliensek és az IDM szerver között
  2. Egy nem meghatározott hiba kihasználható az érvényes felhasználói fiókok megjelenítéséhez.
  3. Egy nem meghatározott hiba kihasználható más felhasználó jelszavának megváltoztatásához
  4. Egy nem meghatározott hiba kihasználható egyes, eredetileg korlátozott műveletek végrehajtásához.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  5. Egy nem részletezett bemenet nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjében, az érintett weboldal környezetében.
  6. Egy nem meghatározott hibát kihasználva tetszőleges parancsok küldhetők az adminisztrációs konzolnak, így pl. új felhasználók hozhatók létre.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  7. Egy nem meghatározott hiba kihasználható tetszőleges parancsok futtatásához Unix / Linux alapú erőforrás átalakítókon (adapter).
  8. Egy nem meghatározott hiba kihasználható az IDM rendszer konfigurációs adatainak megváltoztatásához.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Unknown (Ismeretlen)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: sunsolve.sun.com
SECUNIA 34380

Legfrissebb sérülékenységek
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
CVE-2023-6319 – LG webOS sérülékenysége
CVE-2023-6318 – LG webOS sérülékenysége
CVE-2023-6317 – LG webOS sérülékenysége
CVE-2024-22023 – Ivanti Ivanti Connect Secure és Ivanti Policy Secure sérülékenysége
Tovább a sérülékenységekhez »