IBM Rational产品多个安全漏洞
发布日期:2012-04-25
更新日期:2012-04-26
受影响系统:
IBM Rational AppScan Enterprise 8.0.1.1
IBM Rational AppScan Enterprise 8.0.1
IBM Rational AppScan Enterprise 8.0.0.1
IBM Rational AppScan Enterprise 8.0.0
IBM Rational AppScan Enterprise 5.5.0.2
IBM Rational AppScan Enterprise 5.5 Fix Pack 1
IBM Rational AppScan Enterprise 5.5
IBM Rational AppScan Enterprise 5.2
IBM Rational Policy Tester 8.5
IBM Rational AppScan Reporting Console 8.0.1.1
IBM Rational AppScan Reporting Console 5.2
IBM Rational AppScan Reporting Console 5.0.2
IBM Rational AppScan Reporting Console 0.1
不受影响系统:
IBM Rational Policy Tester 8.5.0.1
IBM Rational AppScan Reporting Console 8.5.0.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 53247
CVE ID: CVE-2012-0729,CVE-2012-0730,CVE-2012-0731,CVE-2012-0732,CVE-2012-0733,CVE-2012-0734,CVE-2012-0735,CVE-2012-0736,CVE-2012-0737
IBM Rational是一个软件开发管理平台。
多个IBM Rational产品在实现上存在多个漏洞,可被恶意用户利用泄露敏感信息、执行会话定位、脚本插入、覆盖任意文件、执行跨站请求伪造和欺骗攻击并控制受影响系统。
1)某些配置中的错误可被利用下载本地资源的任意文件;
2)启用了Windows身份验证时的错误可被利用劫持服务账户会话;
3)导入作业时的错误可被利用泄露敏感信息;
4)扫描FILE URL时的错误可被利用泄露敏感信息;
5)创建扫描作业时的错误可被利用执行任意代码;
6)应用没有正确验证已经上传的文件类型,可被利用执行任意ASP.NET代码;
7)应用的Web界面允许用户通过未验证的HTTP请求执行某些操作。
8)使用了没有正确过滤的输入,导致插入任意HTML和脚本代码。
9)Enterprise Console没有验证SSL证书,导致欺骗和中间人攻击。
10)应用捆绑了ChilkatZip2 ActiveX控件的有漏洞版本。
<*来源:vendor
链接:http://secunia.com/advisories/48967/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: