Обход ограничений безопасности в приложениях IBM DataPower

Дата публикации:
19.08.2013
Дата изменения:
19.08.2013
Всего просмотров:
1236
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:A/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:O/RC:C) = Base:5.4/Temporal:4
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная сеть
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM WebSphere DataPower B2B Appliance XB60 4.x
IBM WebSphere DataPower Low Latency Appliance XM70 4.x
IBM WebSphere DataPower Low Latency Appliance XM70 5.x
IBM WebSphere DataPower Service Gateway XG45 4.x
IBM WebSphere DataPower Service Gateway XG45 5.x
IBM WebSphere DataPower XML Accelerator XA35 5.x
WebSphere DataPower SOA Appliances 4.x
WebSphere DataPower SOA Appliances 5.x
WebSphere DataPower XML Security Gateway XS40
Уязвимые версии:
IBM WebSphere DataPower B2B Appliance XB60 4.x
IBM WebSphere DataPower Low Latency Appliance XM70 4.x
IBM WebSphere DataPower Low Latency Appliance XM70 5.x
IBM WebSphere DataPower Service Gateway XG45 4.x
IBM WebSphere DataPower Service Gateway XG45 5.x
IBM WebSphere DataPower XML Accelerator XA35 5.x
WebSphere DataPower SOA Appliances 4.x
WebSphere DataPower SOA Appliances 5.x
WebSphere DataPower XML Security Gateway XS40

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности.

Уязвимость существует из-за ошибки при обработке запросов к определенным политикам Kerberos AAA. Удаленный пользователь может получить доступ к защищенным ресурсам.

Примечание: Для успешной эксплуатации уязвимости необходимо, чтобы политика "Validate a Kerberos AP-REQ for the Correct Server Principal" была выбрана в качестве метода аутентификации.

URL производителя: http://www-03.ibm.com/software/products/us/en/datapower-xb62

Решение: Установите обновление 5.0.0.9 или 4.0.2.14 с сайта производителя.

Ссылки: http://www.ibm.com/support/docview.wss?uid=swg1IC93263
http://www.ibm.com/support/docview.wss?uid=swg24030684

или введите имя

CAPTCHA