CERT-FI haavoittuvuustiedote 029/2009

17.4.2009

Haavoittuvuus IBM BladeCenter Advanced Management Module -ohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- luottamuksellisen tiedon hankkiminen - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

IBM BladeCenter Advanced Management Module -ohjelmistosta on löytynyt useita Cross-Site Scripting (XSS) ja Cross-Site Request Forgery (CSRF) -haavoittuvuuksia. CERT-FI toimi haavoittuvuuden korjausprosessin koordinoijana.

CSRF-haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä hyökkäystarkoituksessa laaditulle www-sivustolle. Käyttäjän tulee olla kirjautunut web-hallintakäyttöliittymään, jotta hyväksikäyttö onnistuisi. Web-hallintasovelluksen IP-osoitteen on myös oltava hyökkääjän tiedossa. Haavoittuvuuksia hyödyntämällä hyökkääjä voi suorittaa Advanced Management Modulen välityksellä BladeCenterissä samoja komentoja kuin hyökkäystarkoituksessa laaditulla www-sivulla vieraillut hallintakäyttöliittymään kirjautunut käyttäjä.

XSS-haavoittuvuuksien joukossa on myös pysyvä (tyypin 2) XSS-haavoittuvuus. Haavoittuva sovellus kirjoittaa epäonnistuneissa kirjautumisyrityksissä käytetyt käyttäjätunnukset sovelluksen lokisivulle ilman syötteen tarkistusta. Haavoittuvutta voi hyväksikäyttää tekemällä kirjautumisyrityksen tietyllä tavalla muotoiltua käyttätunnusta käyttäen. Haavoittuvuuden hyväksikäyttö tapahtuu, kun hallintakäyttöliittymään kirjautunut käyttäjä avaa selaimessaan sovelluksen lokisivun. Haavoittuvuuksia hyödyntämällä hyökkääjä voi suorittaa Advanced Management Modulen välityksellä BladeCenterissä samoja komentoja kuin lokisivulla vieraillut hallintakäyttöliittymään kirjautunut käyttäjä.

Haavoittuvuuskoordinointi

CERT-FI on koordinoinut haavoittuvuuden julkaisun haavoittuvuuden löytäjän ja haavoittuvan tuotteen valmistajan välillä. CERT-FI kiittää Louhi Networksin Henri Lindbergiä haavoittuvuuden raportoinnista, ja IBM:ää yhteistyöstä haavoittuvuuden korjaamisessa.

HAAVOITTUVAT OHJELMISTOT:

• IBM BladeCenter Advanded Management Module 1.42 ennen versiota 1.42U.
• IBM BladeCenter Advanded Management Module 2.46 ennen versiota 2.46M.
• IBM BladeCenter Advanded Management Module 2.48 ennen versiota 2.48G.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti. Haavoittuvuutta voi myös osin rajoittaa web-hallintaliittymän käyttöä rajoittamalla haavoittuvuuden löytäjän julkaiseman tiedotteen mukaisesti.

LISÄTIETOA:

• http://louhinetworks.fi/advisory/ibm_090409.txt
• http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?lndocid=MIGR-5076204&brandind=5000020
• http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?lndocid=MIGR-5076206&brandind=5000020
• http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?lndocid=MIGR-5078305&brandind=5000020
• http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?lndocid=MIGR-5079494&brandind=5000020
• http://www-304.ibm.com/systems/support/supportsite.wss/docdisplay?lndocid=MIGR-5078307&brandind=5000020
• http://www-947.ibm.com/systems/support/supportsite.wss/docdisplay?lndocid=MIGR-5079495&brandind=5000020
  
• CVE-2008-1288
• CVE-2008-1289
• CVE-2008-1290

Haavoittuvuuskoordinoinnin yhteystiedot

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #197304] viestin otsikossa.

Muut yhteystiedot:

https://www.cert.fi/palvelut/yhteystiedot.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:

https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

PÄIVITYSHISTORIA:

17.4.2009, kello 17.30: Julkaistu
3.6.2009, kello 13.10: Lisätty tieto uusista haavoittuvista versioista 2.46 ja 2.48.
12.8.2009, kello 13.10: Päivitetty tieto CVE-numeroista

Sivua päivitetty 12.08.2009

Tulostusversio