PT-2012-15: Множественные уязвимости в IBM InfoSphere Guardium

Уязвимое ПО

IBM InfoSphere Guardium
Версия 8.2 и более ранняя

Ссылка:
http://www.ibm.com/software/data/guardium/

Описание программы

IBM InfoSphere Guardium представляет собой программно-аппаратный комплекс мониторинга, аудита и контроля доступа к информации, обрабатываемой в современных СУБД корпоративного класса.

1. Межсайтовая подмена запроса

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Межсайтовая подмена запроса
Вектор атаки: Удаленный

CVSS v2:
Base Score: 6.8
Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:P)

CVE: CVE-2012-3309

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Межсайтовая подмена запроса" в IBM InfoSphere Guardium.

Уязвимость обнаружена в Панели создания учетной записи (Account creation panel). Используя эту уязвимость злоумышленник может создать учетную запись с правами администратора.

Решение

Используйте рекомендации производителя:
http://www-01.ibm.com/support/docview.wss?uid=swg21609223

 

2. Раскрытие важных данных

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Раскрытие важных данных
Вектор атаки: Удаленный

CVSS v2:
Base Score: 5
Vector: (AV:N/AC:L/Au:N/C:P/I:N/A:N)

CVE: CVE-2012-3312

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Раскрытие важных данных" в IBM InfoSphere Guardium.

В редакторе Datasource Definition в открытом виде передаются логин/пароль к сконфигурированной базе данных, в случае если включена опция "Save Password".

Решение

Установите обновления:

Версия 8.2: SqlGuard-8.2p100_GPU_July_2012 on FixCentral
Версия 8.01: SqlGuard-8.01p100_GPU_July_2012 on FixCentral
Версия 8.0: InfoSphere_Gaurdium_8.0p9010 on FixCentral

Статус уведомления

25.06.2012 - Производитель уведомлен
25.06.2012 - Производителю отправлены детали уязвимости
15.08.2012 - Производитель выпустил исправление
30.08.2012 - Публикация уязвимости

Благодарности

Уязвимости обнаружил Игорь Булатенко (Исследовательcкий центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2012-15
http://www-01.ibm.com/support/docview.wss?uid=swg21609223
http://www-01.ibm.com/support/docview.wss?uid=swg21609224

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/