CA Unified Infrastructure Management < 8.4 SP2 Multiple Information Disclosure Vulnerabilities (CA20161109-01)
high Nessus Plugin ID 95662
語系:
概要
遠端主機上執行的 Web 應用程式受到多個資訊洩露弱點影響。說明
根據 CA Unified Management Portal (UMP) 的自我報告版本號碼判斷,遠端主機上安裝的 CA Unified Infrastructure Management (UIM) 應用程式比 8.4 SP2 舊。因此會受到多個資訊洩露弱點的影響:- download_lar.jsp servlet 中有一個資訊洩露弱點存在,這是因為允許在限制路徑外周遊的缺陷所致。未經驗證的遠端攻擊者可惡意利用此弱點,透過特製的要求,讀取任意檔案。(CVE-2016-5803) - diag.jsp servlet 中有一個資訊洩露弱點存在,這是因為允許在限制路徑外周遊的缺陷所致。未經驗證的遠端攻擊者可惡意利用此弱點,透過特製的要求,讀取任意檔案。(CVE-2016-9164) - get_sessions servlet 中有一個資訊洩露弱點存在,未經驗證的遠端攻擊者可藉以透過特製的要求,洩露工作階段 ID。而後攻擊者可利用該工作階段 ID 劫持使用者的工作階段。(CVE-2016-9165)解決方案
升級至 CA UIM 8.4 SP2 版或更新版本。供應商建議盡量升級至最新版本 (8.47)。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 95662
檔案名稱: ca_uim_ca20161109-01.nasl
版本: 1.7
類型: remote
系列: Misc.
已發布: 2016/12/9
已更新: 2019/11/13
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.7
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2016-5803
CVSS v3
風險因素: High
基本分數: 8.6
時間分數: 7.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: x-cpe:/a:ca:unified_infrastructure_management
必要的 KB 項目: Settings/ParanoidReport, installed_sw/CA UMP
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/11/9
弱點發布日期: 2016/11/9
參考資訊
CVE: CVE-2016-5803, CVE-2016-9164, CVE-2016-9165
ICSA: 16-315-01
ZDI: ZDI-16-605, ZDI-16-606, ZDI-16-607