‫ چندين آسيب پذيري در IBM InfoSphere Information Server

IRCAD2013022454
شماره:IRCAD2013022454
تاريخ انتشار:30-01-2013
ميزان حساسيت:بسيار مهم
نرم افزارهاي تحت تاثير: 
IBM InfoSphere Information Server 8.x
 
توضيح:
چندين آسيب پذيري در IBM InfoSphere Information Server گزارش شده است كه مي تواند توسط افراد خرابكار مورد سوء استفاده قرار بگيرد تا كاربران محلي به طور بالقوه اطلاعات حساس را افشاء نمايند و بالاترين حق دسترسي را بدست آورند، و توسط كاربران خرابكار مورد سوء استفاده قرار بگيرد تا از محدوديت هاي امنيتي خاص عبور نمايند و كنترل يك سيستم آسيب پذير را در اختيار بگيرند و توسط افراد خرابكار موردسوء استفاده قرار بگيرند تا حملات اسكريپت بين سايتي را هدايت نمايند و كنترل يك سيستم آسيب پذير را در اختيار بگيرند.
1) ورودي نامشخص خاص قبل از برگرداندن به كاربر به خوبي مورد بازبيني قرار نمي گيرد. اين مساله مي تواند براي اجراي كد اسكريپت و HTML دلخواه در يك نشست مرورگر در محتوي يك سايت آلوده مورد سوء استفاده قرار بگيرد.
2) برنامه كاربردي، كتابخانه هاي خاص را به روش ناامن بارگزاري مي كند كه مي تواند براي لود كردن كتابخانه دلخواه بوسيله فريب كاربر به باز كردن يك فايل كه روي WebDAV راه دور قرار دارد مورد سوء استفاده قرار بگيرد.
3) دسترسي به عملكرد عيب يابي به خوبي محدود نمي شود و مي تواند براي بدست آوردن دسترسي IBM InfoSphere Metadata Workbench مورد سوء استفاده قرار بگيرد.
4) كلاينت FastTrack اعتبارنامه هاي خاص را به روش ناامن ذخيره مي كند و مي تواند براي افشاي اعتبارنامه ها مورد سوء استفاده قرار بگيرد.
5) يك خطا در كلاينت DataStage Administrator مي تواند براي بدست آوردن بالاترين حق دسترسي مورد سوء استفاده قرار بگيرد.
توجه: اين آسيب پذيري تنها نسخه هاي ويندوز را تحت تاثير قرار مي دهد.
6) يك خطا در كنترل هاي خاص احراز هويت مي تواند براي بدست آوردن حق دسترسي هاي بيشتر مورد سوء استفاده قرار بگيرد.
7) ورودي نامشخص خاص قبل از استفاده براي هدايت كاربر به خوبي بررسي نمي شود. اين مساله مي تواند براي هدايت كاربر به يك وب سايت خاص هنگامي كه كاربر بر روي يك لينك دستكاري شده خاص كليك مي كند مورد سوئ استفاده قرار بگيرد.
8) يك خطاي اعتبارسنجي ورودي در Import Export Manager مي تواند براي اجراي دستورات دلخواه مورد سوء استفاده قرار بگيرد.
9) در اين برنامه يك نسخه آسيب پذير از Eclipse Help System قرار دارد.
10) ورودي نامشخص خاص در رابطه با واسط هاي وب قبل از بازگرداندن به كاربر به خوبي مورد بازبيني قرار نمي گيرد. اين مساله مي تواند براي اجراي كد اسكريپت و HTML دلخواه در يك نشست كاربر موردسوء استفاده قرار بگيرد.
اين آسيب پذيري ها در نسخه هاي 8.1 ، 8.5 و 8.7 گزارش شده است.
 
راهكار:
در صورتوجود برطرف كننده، آن را اعمال نماييد يا به IBM Support تماس بگيريد.
 
منابع:
 
Secunia:
 
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 14 بهمن 1391

امتیاز

امتیاز شما
تعداد امتیازها:0