Lue uutinen mobiilisivustolla

Louhi kaivoi vakavia ongelmia korttipalvelinsoftasta

21.4.2009 11:09 Cert-Fi varoittaa useista haavoittuvuuksista IBM BladeCenter Advanced Management Module -ohjelmistossa. Aukot löysi Louhi Networks.

Kysymys on useista cross-site scripting - (xss) ja cross-site request forgery (csrf) -haavoittuvuuksista.

Csrf-haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä hyökkäystarkoituksessa laaditulle www-sivustolle. Käyttäjän tulee olla kirjautunut web-hallintakäyttöliittymään, jotta hyväksikäyttö onnistuisi, ja web-hallintasovelluksen ip-osoitteen on myös oltava hyökkääjän tiedossa.

Haavoittuvuuksia hyödyntämällä rikollinen voi kuitenkin suorittaa Advanced Management Modulen välityksellä BladeCenterissä samoja komentoja kuin hyökkäyssivulle eksynyt hallintakäyttöliittymään kirjautunut käyttäjä.

Hyökkääjä voi
sammuttaa palvelimen

Haavoittuvuuksien joukossa on myös pysyvä (tyypin 2) xss-aukko, jossa sovellus kirjoittaa epäonnistuneissa kirjautumisyrityksissä käytetyt käyttäjätunnukset sovelluksen lokisivulle ilman syötteen tarkistusta.

Haavoittuvuutta voi hyväksikäyttää tekemällä kirjautumisyrityksen tietyllä tavalla muotoiltua käyttäjätunnusta käyttäen. Hyväksikäyttö tapahtuu, kun hallintakäyttöliittymään kirjautunut käyttäjä avaa selaimessaan sovelluksen lokisivun.

Louhen Henri Lindberg painottaa It-viikolle, että tämä on haavoittuvuuksista vakavin.

– Mikäli hallintaliittymän kirjautumissivulle pääsyä ei ole estetty, voi hyökkääjä injektoida virhesivulle javascriptiä, joka aktivoituu ylläpitäjän vieraillessa hallintaliittymässä myöhempänä ajankohtana. Haavoittuvuuden hyödyntäminen ei siis edellytä social engineeringiä. Hyökkääjä voi esimerkiksi sammuttaa korttipalvelimia, tai tehdä muita toimenpiteitä ylläpitäjän oikeuksilla, Lindberg huomioi.

IBM
korjasi

Cert-Fi on koordinoinut haavoittuvuuden julkaisun Louhen ja IBM:n välillä. Cert-Fi kiittää Louhi Networksin Henri Lindbergiä haavoittuvuuden raportoinnista ja IBM:ää yhteistyöstä haavoittuvuuden korjaamisessa.

Haavoittuvuudet koskevat IBM BladeCenter Advanded Management Modulen versiota 1.42 ennen versiota 1.42U. Reikiä voi myös osin rajoittaa hillitsemällä web-hallintaliittymän käyttöä Louhen tietojen mukaisesti.

IBM:n ensimmäinen haavoittuvuustiedote
IBM:n toinen haavoittuvuustiedote

Tuomas Linnake
tuomas.linnake@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Kommentit (3)

0

0

Wanha uutinen.

Uutisista pulaa

Lainaa Ilmoita asiaton viesti

# 21.4.2009 12:57

9

9

Niin, mutta meinasi jäädä huomaamatta mahdollisuus mainita Louhi. Ihmettelen vain miten heitä jatkuvasti uutisoidaan, oli syytä tai ei.

-

Lainaa Ilmoita asiaton viesti

# 21.4.2009 13:19

8

7

Ei koske iPhonea!

lollero

Lainaa Ilmoita asiaton viesti

# 21.4.2009 15:22

Sivut: 1 Edellinen Seuraava

Kirjoita vastaus

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

• Putkirikko loi pienen järven Sörnäisten rantatielle – katso video
• Leijonat takoi ennätysnumerot T?ekistä
• Miljoonien viinakokoelma myyntiin vaimon vuoksi
• Kreikkaan vaaditaan uusia vaaleja