IBM Tivoli Service Desk Maximo "Description" Script Insertion • scip AG VulDB

VulDB: IBM Tivoli Service Desk Maximo "Description" Script Insertion

Allgemein

scipID: 3432
Betroffen: IBM Tivoli Service Desk 6.x
Veröffentlicht: 02.11.2007 (IBM)
Risiko: problematisch

Beschreibung

Taxierung der Schwachstelle

Unter dem Oberbegriff Tivoli bietet IBM Software zur Verwaltung von Informationssystemen an. Sie dienen zum einen dazu, Rechner zu überwachen, Software zu verteilen, Systeme zu inventarisieren oder Daten zu sichern. Zum anderen werden Prozesse wie Release-, Change- und Storage Management mit Applikationen unterlegt. Gegründet 1989 in Austin (Texas), ist Tivoli seit 1996 eine hundertprozentige Tochter der IBM. IBM meldet eine Schwachstelle in Tivoli 6.x, wonach ein Benutzer mangels Eingabevalidierung des "Description" Feldes beliebigen Scriptcode im Kontext der Applikation zur Ausführung bringen kann. Dadurch eröffnen sich einem Angreifer die Möglichkeiten konkreter webbasierter Angriffsmethoden wie Cross-Site-Scripting oder Cross-Site-Request Forgery.

Gelingt es einem Angreifer, die Softwareverteilung eines Betriebes unter seine Kontrolle zu bringen, so eröffnen sich ihm eine Vielzahl von Möglichkeiten für weitere Attacke. IBM empfiehlt daher, Zugriff auf Tivoli nur an vertrauenswürdige Benutzer abzugeben – was im Anbetracht der Angriffsmöglichkeiten sowie der Skalierung des Produktes als eher schwache Response zu werten ist. Dennoch bleibt betroffenen Administratoren derzeit nichts anderes übrig, als den mässig nützlichen Rat zu beherzigen und auf eine baldige Behebung des Problems in Form eines Patchs zu hoffen.