|
Duyuru Tarihi: 11 Temmuz 2008
Açıklama: MRO Maximo değişik tipte vertabanı sistemi
ile birlikte çalışabilen web tabanlı servis ve varlık yönetimi
yazılımıdır. İlgili
yazılımın sisteme yüklenmesi ile birlikte gelen debug.jsp
uygulamasının aşağıda belirtilen güvenlik açıklarından
etkilendiği belirlenmiştir.
1- Bilgi
açığa çıkarma: Herkes tarafından erişebilir debug.jsp
uygulaması, işletim sisteminin tipi, sürüm bilgisi, kullanılan
yazılımın sürümü, yazılımın işletim sistemi üzerinde kurulu
olduğu yol bilgisi gibi bilgileri yayınlamaktadır. Aşağıdaki
gibi bir istek bu bilgilere ulaşmak için yeterli olacaktır.
http://maximo/jsp/common/system/debug.jsp
2- Cross
Site Scripting: Debug.jsp uygulamasının HTTP başlığında yollanan
verileri encode etmeden veya zararlı karakterlere karşı
filtrelemeden çıktılarda kullanması sebebi ile XSS açığı ortaya
çıkmaktadır. Bu durum yetkisiz kullanıcılara istedikleri script
kodlarını, uygulama çıktısına enjekte etme imkanı tanımaktadır.
Aşağıda örnek istek yer almaktadır.
GET /jsp/common/system/debug.jsp
HTTP/1.1
Accept: <XSSCODE>
Accept-Language: <XSSCODE>
UA-CPU: <XSSCODE>
Accept-Encoding: <XSSCODE>
User-Agent: <XSSCODE>
Host: maximo
Connection: Keep-Alive
Cookie: <XSSCODE>
Etkilenen Yazılım/Donanım: IBM MRO Maximo
Etkilenen Sürüm: 4.1 , 5.2
Etki Alanı: Uzaktan Erişim
Risk Seviyesi: Orta
BID:
30180
CVE:
CVE-2008-3161
|
Türkçe | 
