Множественные уязвимости в IBM продуктах

Дата публикации:
09.06.2014
Дата изменения:
09.06.2014
Всего просмотров:
578
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
13
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:M/Au:N/C:N/I:P/A:P/E:U/RL:OF/RC:C) = Base:5.8/Temporal:4.3
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) = Base:7.5/Temporal:5.5
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2012-3333
CVE-2013-0451
CVE-2013-2998
CVE-2013-4016
CVE-2013-5402
CVE-2013-5460
CVE-2013-5464
CVE-2013-5465
CVE-2013-6741
CVE-2014-0824
CVE-2014-0825
CVE-2014-0849
CVE-2014-0893
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management Essentials 7.x
IBM SmartCloud Control Desk 7.x
IBM Tivoli Asset Management for IT 7.x
IBM Tivoli Change and Configuration Management Database 7.x
IBM Tivoli Service Request Manager 7.x
Уязвимые версии:
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management Essentials 7.x
IBM SmartCloud Control Desk 7.x
IBM Tivoli Asset Management for IT 7.x
IBM Tivoli Change and Configuration Management Database 7.x
IBM Tivoli Service Request Manager 7.x, возможно более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, обойти ограничения безопасности, получить доступ к определенной конфиденциальной информации и выполнить произвольные SQL команды в базе данных приложения.

1. Уязвимость существует из-за недостаточной обработки входных данных в отображении имени пользователя. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных.

2. Уязвимость существует из-за недостаточной обработки входных данных в фильтре List Page Description. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. 3. Уязвимость существует из-за недостаточной обработки входных данных в параметрах URL. Удаленный пользователь может вставить произвольные HTTP заголовки, которые будут включены в отправленный ответ пользователю.

4. Уязвимость существует из-за ошибки при обработке недействительного кода в frontcontroller.jsp. Удаленный пользователь может получить доступ к определенной конфиденциальной информации.

5. Уязвимость существует из-за недостаточной обработки входных данных в отчетах Birt. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

6. Приложение не правильно ограничивает доступ к функциональности storeroom. Удаленный пользователь может манипулировать иными расчетами storeroom.

7. Приложение не правильно ограничивает доступ к определенным журналам связи. Удаленный пользователь может получить доступ к иным журналам связи не связанных с записями.

8. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может получить доступ к ошибкам трассировки стека Birt.

9. Уязвимость существует из-за недостаточной обработки входных данных в привязке URL-адресов. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных.

10. Уязвимость существует из-за недостаточной обработки входных данных в параметрах отчета openreport.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных.

11. Приложение не правильно ограничивает доступ к определенным журналом связи. Удаленный пользователь может получить доступ к иным журналам связи не связанных с записями.

12. Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может получить привилегии ограниченной безопасности второй группы для того же пользователя.

13. Уязвимость существует из-за недостаточной обработки входных данных в параметрах отчета openreport.jsp. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта, при просмотре вредоносных данных.

Обратитесь к производителю для списка уязвимых продуктов.

URL производителя: http://www.ibm.com/

Решение: Установите последнюю версию с сайта производителя.

Ссылки: http://www.ibm.com/support/docview.wss?uid=swg21670870

или введите имя

CAPTCHA