PT-2012-15: Множественные уязвимости в IBM InfoSphere Guardium
Уязвимое ПО
IBM InfoSphere Guardium
Версия 8.2 и более ранняя
Ссылка:
http://www.ibm.com/software/data/guardium/
Описание программы
IBM InfoSphere Guardium представляет собой программно-аппаратный комплекс мониторинга, аудита и контроля доступа к информации, обрабатываемой в современных СУБД корпоративного класса.
1. Межсайтовая подмена запроса
Рейтинг опасности
Уровень опасности: Средний
Воздействие: Межсайтовая подмена запроса
Вектор атаки: Удаленный
CVSS v2:
Base Score: 6.8
Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:P)
CVE: CVE-2012-3309
Описание уязвимости
Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Межсайтовая подмена запроса" в IBM InfoSphere Guardium.
Уязвимость обнаружена в Панели создания учетной записи (Account creation panel). Используя эту уязвимость злоумышленник может создать учетную запись с правами администратора.
Решение
Используйте рекомендации производителя:
http://www-01.ibm.com/support/docview.wss?uid=swg21609223
2. Раскрытие важных данных
Рейтинг опасности
Уровень опасности: Средний
Воздействие: Раскрытие важных данных
Вектор атаки: Удаленный
CVSS v2:
Base Score: 5
Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N)
CVE: CVE-2012-3312
Описание уязвимости
Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Раскрытие важных данных" в IBM InfoSphere Guardium.
В редакторе Datasource Definition в открытом виде передаются логин/пароль к сконфигурированной базе данных, в случае если включена опция "Save Password".
Решение
Установите обновления:
Версия 8.2: SqlGuard-8.2p100_GPU_July_2012 on FixCentral
Версия 8.01: SqlGuard-8.01p100_GPU_July_2012 on FixCentral
Версия 8.0: InfoSphere_Gaurdium_8.0p9010 on FixCentral
Статус уведомления
25.06.2012 - Производитель уведомлен
25.06.2012 - Производителю отправлены детали уязвимости
15.08.2012 - Производитель выпустил исправление
30.08.2012 - Публикация уязвимости
Благодарности
Уязвимости обнаружил Игорь Булатенко (Исследовательcкий центр Positive Research компании Positive Technologies)
Ссылки
http://www.securitylab.ru/lab/PT-2012-15
http://www-01.ibm.com/support/docview.wss?uid=swg21609223
http://www-01.ibm.com/support/docview.wss?uid=swg21609224
Список отчетов о ранее обнаруженных уязвимостях Positive Research:
http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/