Sun Java System Identity Manager töbszörös sérülékenység

CH azonosító

CH-2046

Felfedezés dátuma

2009.03.19.

Súlyosság

Magas

Érintett rendszerek

Java System Identity Manager
Sun Microsystems

Érintett verziók

Sun Microsystems Java System Identity Manager 7.0, 7.1, 7.1.1, 8.0

Összefoglaló

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

Leírás

Néhány sérülékenységet és biztonsági problémát jelentettek a Sun Java System Identity Managerben, amelyet kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági korlátozásokat, és a támadók bizalmas információkhoz férhetnek hozzá, cross-site scripting támadásokat folytathatnak le, bizonyos biztonsági korlátozásokat kerülhetnek meg, bizonyos adatokat módosíthatnak vagy feltörhetik a sérülékeny rendszert.

  1. Egy nem meghatározott hiba titkosítatlan kommunikációt eredményezhet a kliensek és az IDM szerver között
  2. Egy nem meghatározott hiba kihasználható az érvényes felhasználói fiókok megjelenítéséhez.
  3. Egy nem meghatározott hiba kihasználható más felhasználó jelszavának megváltoztatásához
  4. Egy nem meghatározott hiba kihasználható egyes, eredetileg korlátozott műveletek végrehajtásához.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  5. Egy nem részletezett bemenet nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjében, az érintett weboldal környezetében.
  6. Egy nem meghatározott hibát kihasználva tetszőleges parancsok küldhetők az adminisztrációs konzolnak, így pl. új felhasználók hozhatók létre.

    A sikeres kihasználáshoz érvényes felhasználói fiók szükséges.
  7. Egy nem meghatározott hiba kihasználható tetszőleges parancsok futtatásához Unix / Linux alapú erőforrás átalakítókon (adapter).
  8. Egy nem meghatározott hiba kihasználható az IDM rendszer konfigurációs adatainak megváltoztatásához.

Megoldás

Telepítse a javítócsomagokat