ThinkVantage System Update hiányzó SSL tanúsítvány lánc ellenőrzése


2008. május 25. 22:00

CH azonosító

CH-1259

Felfedezés dátuma

2008.05.25.

Súlyosság

Közepes

Érintett rendszerek

IBM
ThinkVantage System Update

Érintett verziók

IBM ThinkVantage System Update 2.x

Összefoglaló

A ThinkVantage System Update biztonsági rését jelezték, melyet rosszindulatú támadók megtévesztéses támadások kezdeményezésére használhatnak.

Leírás

A ThinkVantage System Update biztonsági rését jelezték, melyet rosszindulatú támadók megtévesztéses támadások kezdeményezésére használhatnak.

A probléma oka az, hogy az alkalmazás nem végez SSL tanúsítvány lánc ellenőrzést az update szerverhez való kapcsolódáskor.

A sikeres kiaknázás lehetővé teszi például rosszindulatú programok letöltését és futtatását, de szükséges hozzá, hogy az alkalmazás kapcsolódjon egy rosszindulatú update szerverhez, mely egy különlegesen kialakított X.509 tanúsítványt szolgáltat (például DNS mérgezés során).

A biztonsági rést a 3.13.0005 verzióra jelentették. Más verziók is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Hijacking (Visszaélés)
Infrastructure (Infrastruktúra)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www-307.ibm.com
Egyéb referencia: www.security-objectives.com
SECUNIA 30379

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége
CVE-2025-32432 – Craft CMS RCE sebezhetősége
CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége
CVE-2025-31324 – SAP NetWeaver sebezhetősége
CVE-2025-24206 – Apple AirPlay sebezhetősége
CVE-2025-24252 – Apple AirPlay sebezhetősége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
Tovább a sérülékenységekhez »