Множественные уязвимости в продуктах IBM

Дата публикации:
25.12.2014
Дата изменения:
25.12.2014
Всего просмотров:
584
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
9
CVSSv2 рейтинг:
(AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) = Base:7.8/Temporal:5.8
(AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) = Base:7.8/Temporal:5.8
(AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:OF/RC:C) = Base:7.8/Temporal:5.8
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:S/C:P/I:P/A:P/E:U/RL:OF/RC:C) = Base:6/Temporal:4.4
(AV:N/AC:L/Au:N/C:N/I:P/A:P/E:U/RL:OF/RC:C) = Base:6.4/Temporal:4.7
(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C) = Base:5/Temporal:3.7
CVE ID:
CVE-2014-3508
CVE-2014-3509
CVE-2014-3511
CVE-2014-6076
CVE-2014-6077
CVE-2014-6080
CVE-2014-6082
CVE-2014-6086
CVE-2014-6088
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM Security Access Manager for Mobile 8.x
IBM Security Access Manager for Web 8.x
Уязвимые версии:
IBM Security Access Manager for Mobile 8.0.0.0
IBM Security Access Manager for Mobile 8.0.0.1
IBM Security Access Manager for Mobile 8.0.0.3
IBM Security Access Manager for Mobile 8.0.0.4
IBM Security Access Manager for Mobile 8.0.0.5
IBM Security Access Manager for Web 8.0.0.2
IBM Security Access Manager for Web 8.0.0.3
IBM Security Access Manager for Web 8.0.0.4
IBM Security Access Manager for Web 8.0.0.5

Описание:

Уязвимости позволяют удаленному пользователю осуществить XSS-атаку, раскрыть важные данные и неавторизованно изменить информацию, обойти ограничения безопасности и вызвать отказ в обслуживании.

1, 2, 3) Детальная информация об уязвимостях доступна по следующему адресу: http://www.securitylab.ru/vulnerability/456312.php (#1, #3, #8);

4) Уязвимость существует из-за недостаточной обработки входных данных в неизвестных параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

5) Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF-нападение и выполнить неизвестные действия на целевой системе.

Примечание: Для успешной эксплуатации уязвимости жертва должна перейти по специально сформированной ссылке.

6) Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF-нападение и выполнить неизвестные действия на целевой системе..

Примечание: Для успешной эксплуатации уязвимости жертва должна перейти по вредоносной ссылке.

7) Уязвимость существует из-за неизвестной ошибки, вследствие которой приложение использует соединение по HTTP вместо HTTPS. Удаленный пользователь может осуществить атаку "человек посередине" и раскрыть важные данные.

8) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может вызвать недоступность некоторых компонентов административного интерфейса.


URL производителя:
http://www.ibm.com/software/products/en/access-mgr-mobile
http://www-03.ibm.com/software/products/en/access-mgr-web/

Решение: Установите исправление с сайта производителя.

Ссылки: https://www.ibm.com/support/docview.wss?uid=swg21683342
https://www.ibm.com/support/docview.wss?uid=swg21684475