📚 IBM Jazz Reporting Service bis 6.0/6.0.1 iFix005/6.0.2 iFix002 Lifecycle Query Engine XML XXE erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In IBM Jazz Reporting Service bis 6.0/6.0.1 iFix005/6.0.2 iFix002 wurde eine kritische Schwachstelle ausgemacht. Dabei geht es um eine unbekannte Funktion der Komponente Lifecycle Query Engine. Durch Manipulation durch XML kann eine erweiterte Rechte-Schwachstelle (XXE) ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 25.11.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-0319 geführt. Der Angriff kann über das Netzwerk angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird.
Die Schwachstelle lässt sich durch das Einspielen des Patches 6.0.1 iFix006/6.0.2 iFix 003 lösen.
Von weiterem Interesse können die folgenden Einträge sein: 93820, 93821 und 93822.
CVSSv3
Base Score: 6.3 [?]Temp Score: 6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
- cpe:/a:ibm:jazz_reporting_service:6.0
- cpe:/a:ibm:jazz_reporting_service:6.0.1_ifix005
- cpe:/a:ibm:jazz_reporting_service:6.0.2_ifix002
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Patch: 6.0.1 iFix006/6.0.2 iFix 003
Timeline
25.11.2016 Advisory veröffentlicht27.11.2016 VulDB Eintrag erstellt
27.11.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-0319 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 93820, 93821, 93822
Eintrag
Erstellt: 27.11.2016Eintrag: 72.2% komplett
...