800+ IT
News
als RSS Feed abonnieren๐ IBM InfoSphere Information Server bis 8.5 FP3/8.7 FP2/9.1.2.0/11.3.1.2/11.5 Cookie Handler erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 81171
Betroffen: IBM InfoSphere Information Server bis 8.5 FP3/8.7 FP2/9.1.2.0/11.3.1.2/11.5
Veröffentlicht: 03.03.2016
Risiko: kritisch
Erstellt: 06.03.2016
Eintrag: 65.2% komplett
Beschreibung
Es wurde eine Schwachstelle in IBM InfoSphere Information Server bis 8.5 FP3/8.7 FP2/9.1.2.0/11.3.1.2/11.5 entdeckt. Sie wurde als kritisch eingestuft. Hiervon betroffen ist eine unbekannte Funktion der Komponente Cookie Handler. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
IBM InfoSphere Information Server 8.5 through FP3, 8.7 through FP2, 9.1 through 9.1.2.0, 11.3 through 11.3.1.2, and 11.5 allows remote authenticated users to bypass intended access restrictions via a modified cookie.
Die Schwachstelle wurde am 03.03.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2015-7490 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 6.0 (CVSS2#E:ND/RL:ND/RC:ND) [?]
CPE
- cpe:/a:ibm:infosphere_information_server:8.5_fp3
- cpe:/a:ibm:infosphere_information_server:8.7_fp2
- cpe:/a:ibm:infosphere_information_server:9.1.2.0
- cpe:/a:ibm:infosphere_information_server:11.3.1.2
- cpe:/a:ibm:infosphere_information_server:11.5
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $10k-$25k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Timeline
03.03.2016 | Advisory veröffentlicht
06.03.2016 | VulDB Eintrag erstellt
06.03.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7490 (mitre.org) (nvd.nist.org) (cvedetails.com)
...