IBM Maximo Asset Management产品缺陷和多个安全漏洞

IBM Maximo Asset Management产品缺陷和多个安全漏洞

发布日期：2012-03-07
更新日期：2012-03-08

受影响系统：
IBM Maximo Asset Management 7.x
IBM Maximo Asset Management 6.x
IBM Maximo Asset Management Essentials 7.x
IBM Maximo Asset Management Essentials 6.x
描述：
--------------------------------------------------------------------------------
CVE ID: CVE-2011-1394,CVE-2011-1395,CVE-2011-1396,CVE-2011-1397,CVE-2011-4816,CVE-2011-4817,CVE-2011-4818,CVE-2011-4819,CVE-2012-0195

IBM Maximo Asset Management软件为所有资产类型提供综合性资产生命周期和维护管理。

IBM Maximo Asset Management和IBM Maximo Asset Management Essentials软件中存在多个漏洞，可被恶意用户利用泄露敏感信息并执行SQL注入攻击，或执行跨站脚本执行攻击并造成拒绝服务。

1）在“help”菜单的“about”选项中显示了禁止显示的用户名。

2）通过"uisessionid"参数到脚本的输入没有正确验证即用于重定向用户。

3）通过"controlid" 参数到imicon.jsp 及"reportType" 参数到脚本的输入没有正确验证即返回给用户。

4）通过"uisesionid"参数到ui/和maximo.jsp 的输入没有正确验证即返回给用户。

5）Start Center Layout和Configuration中的某些输入没有正确验证即返回给用户。

6）应用允许用户通过HTTP请求执行某些操作，而不验证请求。

7）处理HTTP会话中的多个UI会话上存在错误。

8）传递到KPI组件的某些输入没有正确过滤即用作SQL查询中。

<*来源：IBM （ncsupp@ca.ibm.com）
 
  链接：http://secunia.com/advisories/48299/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ers.ibm.com/