CH azonosító
CH-13804Angol cím
Multiple security vulnerabilities in Tivoli Storage Manager (IBM Spectrum Protect) Operations Center (CVE-2016-6043, CVE-2016-6044, CVE-2016-6045, CVE-2106-6046)Felfedezés dátuma
2016.12.24.Súlyosság
KözepesÖsszefoglaló
A Tivoli Storage Manager Operations Center több sérülékenysége vált ismertté, amelyeket kihasználva a támadók számára munkamenet eltérítésre, XSS és XSRF támadások végrehajtására és biztonsági házirend megsértésére nyílhat lehetőség.
Leírás
Egy helyi felhasználó átveheti egy korábban bejelentkezett felhasználó munkamenetét, mivel a munkamenet lejárat nincs kikényszerítve.
Egy hitelesített felhasználó engedélyezheti ill. tilthatja a REST API-t, amellyel a biztonsági házirendet sértheti.
Egy további sérülékenység XSRF támadás végrehajtására adhat lehetőséget.
Egy további, XSS sérülékenységet kihasználva tetszőleges kódot lehet befecskendezni a WebUI-be, megváltoztatva az eredeti funkcionalitást, ami a munkamenethez kötődő bizalmas információk kiszivárgásához vezethet.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítés az alábbi verziókra:
- 7.1.7.100
- 6.4.2.500
Támadás típusa
Cross Site Scripting (XSS/CSS)Cross-Site Request Forgery (CSRF)
Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-01.ibm.com
Egyéb referencia: www.securityfocus.com
Egyéb referencia: www.securityfocus.com
Egyéb referencia: www.securityfocus.com
Egyéb referencia: www.securityfocus.com
CVE-2016-6043 - NVD CVE-2016-6043
CVE-2016-6044 - NVD CVE-2016-6044
CVE-2016-6045 - NVD CVE-2016-6045
CVE-2106-6046 - NVD CVE-2106-6046