IBM Maximo Asset Management产品缺陷和多个安全漏洞

发布日期:2012-03-07
更新日期:2012-03-08

受影响系统:
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management 6.x
IBM Maximo Asset Management Essentials 7.x
IBM Maximo Asset Management Essentials 6.x
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2011-1394,CVE-2011-1395,CVE-2011-1396,CVE-2011-1397,CVE-2011-4816,CVE-2011-4817,CVE-2011-4818,CVE-2011-4819,CVE-2012-0195

IBM Maximo Asset Management软件为所有资产类型提供综合性资产生命周期和维护管理。

IBM Maximo Asset Management和IBM Maximo Asset Management Essentials软件中存在多个漏洞,可被恶意用户利用泄露敏感信息并执行SQL注入攻击,或执行跨站脚本执行攻击并造成拒绝服务。

1)在“help”菜单的“about”选项中显示了禁止显示的用户名。

2)通过"uisessionid"参数到脚本的输入没有正确验证即用于重定向用户。

3)通过"controlid" 参数到imicon.jsp 及"reportType" 参数到脚本的输入没有正确验证即返回给用户。

4)通过"uisesionid"参数到ui/和maximo.jsp 的输入没有正确验证即返回给用户。

5)Start Center Layout和Configuration中的某些输入没有正确验证即返回给用户。

6)应用允许用户通过HTTP请求执行某些操作,而不验证请求。

7)处理HTTP会话中的多个UI会话上存在错误。

8)传递到KPI组件的某些输入没有正确过滤即用作SQL查询中。

<*来源:IBM (ncsupp@ca.ibm.com
 
  链接:
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwgpwz.html