Обход ограничений безопасности в приложениях IBM DataPower
| Дата публикации: | 19.08.2013 |
| Всего просмотров: | 1609 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVSSv2 рейтинг: | 5.4 (AV:A/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Локальная сеть |
| Воздействие: | Обход ограничений безопасности |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
IBM WebSphere DataPower B2B Appliance XB60 4.x
IBM WebSphere DataPower Low Latency Appliance XM70 4.x IBM WebSphere DataPower Low Latency Appliance XM70 5.x IBM WebSphere DataPower Service Gateway XG45 4.x IBM WebSphere DataPower Service Gateway XG45 5.x IBM WebSphere DataPower XML Accelerator XA35 5.x WebSphere DataPower SOA Appliances 4.x WebSphere DataPower SOA Appliances 5.x WebSphere DataPower XML Security Gateway XS40 |
| Уязвимые версии:
IBM WebSphere DataPower B2B Appliance XB60 4.x IBM WebSphere DataPower Low Latency Appliance XM70 4.x IBM WebSphere DataPower Low Latency Appliance XM70 5.x IBM WebSphere DataPower Service Gateway XG45 4.x IBM WebSphere DataPower Service Gateway XG45 5.x IBM WebSphere DataPower XML Accelerator XA35 5.x WebSphere DataPower SOA Appliances 4.x WebSphere DataPower SOA Appliances 5.x WebSphere DataPower XML Security Gateway XS40 Описание: Уязвимость существует из-за ошибки при обработке запросов к определенным политикам Kerberos AAA. Удаленный пользователь может получить доступ к защищенным ресурсам. Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы политика "Validate a Kerberos AP-REQ for the Correct Server Principal" была выбрана в качестве метода аутентификации. URL производителя: http://www-03.ibm.com/software/products/us/en/datapower-xb62 Решение: Установите обновление 5.0.0.9 или 4.0.2.14 с сайта производителя. |
|
| Ссылки: |
http://www.ibm.com/support/docview.wss?uid=swg1IC93263 http://www.ibm.com/support/docview.wss?uid=swg24030684 |