๐ IBM Maximo Asset Management bis 7.11.13/7.5.0.9/7.6.0.3 Log erweiterte Rechte
๐ก Newskategorie: PoC
๐ Quelle: scip.ch
Allgemein
scipID: 80704
Betroffen: IBM Maximo Asset Management bis 7.11.13/7.5.0.9/7.6.0.3
Veröffentlicht: 27.01.2016
Risiko: problematisch
Erstellt: 28.01.2016
Eintrag: 66.2% komplett
Beschreibung
In IBM Maximo Asset Management bis 7.11.13/7.5.0.9/7.6.0.3 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Hierbei betrifft es eine unbekannte Funktion. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Log) ausgenutzt werden. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:
IBM Maximo Asset Management 7.1 through 7.1.1.13, 7.5.0 before 7.5.0.9 IFIX002, and 7.6.0 before 7.6.0.3 IFIX001; Maximo Asset Management 7.5.0 before 7.5.0.9 IFIX002, 7.5.1, and 7.6.0 before 7.6.0.3 IFIX001 for SmartCloud Control Desk; and Maximo Asset Management 7.1 through 7.1.1.13 and 7.2 for Tivoli IT Asset Management for IT and certain other products allow local users to obtain sensitive information by leveraging administrative privileges and reading log files.
Die Schwachstelle wurde am 27.01.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2015-7487 vorgenommen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade vermag dieses Problem zu beheben.CVSS
Base Score: 1.5 (CVSS2#AV:L/AC:M/Au:S/C:P/I:N/A:N) [?]
Temp Score: 1.3 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:ibm:maximo_asset_management:7.11.13
- cpe:/a:ibm:maximo_asset_management:7.5.0.9
- cpe:/a:ibm:maximo_asset_management:7.6.0.3
Exploiting
Klasse: Erweiterte Rechte
Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
27.01.2016 | Advisory veröffentlicht
28.01.2016 | VulDB Eintrag erstellt
28.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7487 (mitre.org) (nvd.nist.org) (cvedetails.com)
...