IBM Tivoli Access 目录漏洞

IBM Tivoli Access 目录漏洞 - 电脑安全 - 电脑教程网

IBM Tivoli Access 目录漏洞

日期:2006-07-30   荐:
  漏洞信息  IBM Tivoli Access Manager是一款商业性质企业和电子商务应用程序策略访问控制解决方案。  IBM Tivoli Access Manager的TAM插件不充分用户提交的URI数据,远程攻击者可以利用漏洞以WEB权限查看系统文件内容。  问题是插件包含的pkmslogout对用户提交给'filename'参数数据缺少过滤。提交包含多个"../"字符作为参数数据,可绕过WEB ROOT限制以WEB权限查看系统文件内容。  CVE ID: CVE-2006-0513  CNCVE ID:CNCVE-20060513  漏洞消息时间:2006-02-04  漏洞起因  输入验证错误  影响系统  IBM Tivoli Access Manager 5.1.0.10, 6.0.0  危害  远程攻击者可以利用漏洞以WEB权限查看系统文件内容。  攻击所需条件  攻击者必须访问IBM Tivoli Access Manager。  测试方法  http://tam.example.com/pkmslogout?filename=../../../../../../../etc/passwd  厂商解决方案  补丁下载:  Fixpack 5.1.0-TIV-WPI-FP0017 is available at:   http://www-1.ibm.com/support/docview.wss?uid=swg24011562  Fixpack 6.0.0-TIV-WPI-FP0001 is available at:  http://www-1.ibm.com/support/docview.wss?uid=swg24011561  漏洞提供者  Timothy D. Morgan   漏洞消息链接  http://marc.theaimsgroup.com/?l=bugtraq&m=113907623623942&w=2  漏洞消息标题  VSR Advisory: IBM Tivoli Access Manager - Web Server Plug-in File
标签: