发布日期:2012-03-07
更新日期:2012-03-08
受影响系统:
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management 6.x
IBM Maximo Asset Management Essentials 7.x
IBM Maximo Asset Management Essentials 6.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2011-1394,CVE-2011-1395,CVE-2011-1396,CVE-2011-1397,CVE-2011-4816,CVE-2011-4817,CVE-2011-4818,CVE-2011-4819,CVE-2012-0195
IBM Maximo Asset Management软件为所有资产类型提供综合性资产生命周期和维护管理。
IBM Maximo Asset Management和IBM Maximo Asset Management Essentials软件中存在多个漏洞,可被恶意用户利用泄露敏感信息并执行SQL注入攻击,或执行跨站脚本执行攻击并造成拒绝服务。
1)在“help”菜单的“about”选项中显示了禁止显示的用户名。
2)通过"uisessionid"参数到脚本的输入没有正确验证即用于重定向用户。
3)通过"controlid" 参数到imicon.jsp 及"reportType" 参数到脚本的输入没有正确验证即返回给用户。
4)通过"uisesionid"参数到ui/和maximo.jsp 的输入没有正确验证即返回给用户。
5)Start Center Layout和Configuration中的某些输入没有正确验证即返回给用户。
6)应用允许用户通过HTTP请求执行某些操作,而不验证请求。
7)处理HTTP会话中的多个UI会话上存在错误。
8)传递到KPI组件的某些输入没有正确过滤即用作SQL查询中。
<*来源:IBM (ncsupp@ca.ibm.com)
链接:
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: