PT-2012-15: Множественные уязвимости в IBM InfoSphere Guardium

(PT-2012-15) Positive Technologies Security Advisory
Множественные уязвимости в IBM InfoSphere Guardium

Уязвимое ПО

IBM InfoSphere Guardium
Версия 8.2 и более ранняя

Ссылка:
http://www.ibm.com/software/data/guardium/

Описание программы

IBM InfoSphere Guardium представляет собой программно-аппаратный комплекс мониторинга, аудита и контроля доступа к информации, обрабатываемой в современных СУБД корпоративного класса.

1. Межсайтовая подмена запроса

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Межсайтовая подмена запроса
Вектор атаки: Удаленный

CVSS v2:
Base Score: 6.8
Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:P)

CVE: CVE-2012-3309

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Межсайтовая подмена запроса" в IBM InfoSphere Guardium.

Уязвимость обнаружена в Панели создания учетной записи (Account creation panel). Используя эту уязвимость злоумышленник может создать учетную запись с правами администратора.

Решение

Используйте рекомендации производителя:
http://www-01.ibm.com/support/docview.wss?uid=swg21609223

 

2. Раскрытие важных данных

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Раскрытие важных данных
Вектор атаки: Удаленный

CVSS v2:
Base Score: 5
Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N)

CVE: CVE-2012-3312

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Раскрытие важных данных" в IBM InfoSphere Guardium.

В редакторе Datasource Definition в открытом виде передаются логин/пароль к сконфигурированной базе данных, в случае если включена опция "Save Password".

Решение

Установите обновления:

Версия 8.2: SqlGuard-8.2p100_GPU_July_2012 on FixCentral
Версия 8.01: SqlGuard-8.01p100_GPU_July_2012 on FixCentral
Версия 8.0: InfoSphere_Gaurdium_8.0p9010 on FixCentral

Статус уведомления

25.06.2012 - Производитель уведомлен
25.06.2012 - Производителю отправлены детали уязвимости
15.08.2012 - Производитель выпустил исправление
30.08.2012 - Публикация уязвимости

Благодарности

Уязвимости обнаружил Игорь Булатенко (Исследовательcкий центр Positive Research компании Positive Technologies)


Ссылки

http://www.securitylab.ru/lab/PT-2012-15
http://www-01.ibm.com/support/docview.wss?uid=swg21609223
http://www-01.ibm.com/support/docview.wss?uid=swg21609224

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. 
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.