上网行为管理、下一代防火墙、WEB应用漏洞扫描系统、WEB应用防火墙、网络流量控制、广域网优化、安防监控、网络基础通信,创新前沿信息安全产品技术与服务供应商

IBM安全访问管理器的Web/移动多个漏洞



漏洞发现时间:2014-12-23

漏洞编号:

CVE-2014-3508

CVE-2014-3509

CVE-2014-3511

CVE-2014-6076

CVE-2014-6077

CVE-2014-6080

CVE-2014-6082

CVE-2014-6086

CVE-2014-6088

受影响软件:

IBM Security Access Manager forMobile 8.x

IBM Security Access Manager forWeb 8.x

漏洞描述:

据报道,IBM公司Web端和移动端的安全访问管理器存在一个安全问题,以及多个漏洞。恶意用户能利用这些漏洞发起SQL注入攻击,拒绝服务 Dos)攻击,跨站脚本攻击(XSS)和跨站请求伪造(CSRF),信息泄露以及安全限制绕过等攻击行为。


1)某些恶意构造的SQL查询并没有被完全过滤掉,这个漏洞可被用来插入SQL语句,进行注入攻击。
2)该应用程序允许用户通过发送HTTP请求执行任意操作,原因在于没有对输入进行有效检查,导致输入中可以嵌入iframe标签。这样黑客通过诱导用户点击构造好的链接,访问早已设置好的网站Url。(注:跨站脚本攻击)
3)该应用程序允许用户通过发送HTTP请求执行任意操作,原因在于没有对输入进行有效检查。当登陆的用户访问到黑客构造好的Web页面时,会用之前的身份自动执行黑客定义的操作。
4)一个未指明的错误,能被用来强制该应用程序使用HTTP请求替代HTTPS请求,利用中间人攻击,就会导致敏感信息泄露的危险。
5) 一个未指明的错误,能导致管理接口变得不可用。


这个安全问题和这些漏洞存在于一下产品/版本中:
* IBM Security Access Manager for Mobile version 8.0 firmware versions 8.0.0.0, 8.0.0.1 8.0.0.3, 8.0.0.4, and 8.0.0.5.
* IBM Security Access Manager for Web version 8.0 firmware versions 8.0.0.2, 8.0.0.3, 8.0.0.4, and 8.0.0.5.

来源参考:

专家建议:

更新到最新版本。

厂商补丁:





上一篇: Adobe Flash 多个漏洞
下一篇: 上周关注度较高的产品安全漏洞(20161121-1127)