امنیت

February 6, 2024
11:01 سه شنبه، 17ام بهمنماه 1402
کد خبر: 160111

کشف 7 آسیب پذیری در Security Access Manager IBM

( Security Access Manager ) IBM یک ارائه‌دهنده خدمات مدیریت دسترسی و احراز هویت کاربران به برنامه‌های وب می‌باشد و به حفاظت از برنامه‌ها در برابر تهدیدات شبکه کمک می‌کند. 7 آسیبپذیری در نسخه‌های 10.0.0.0 تا 10.0.6.1 دستگاه IBM Security Verify Access Appliance و Docker IBM Security Verify Access کشف شده است که جزئیات آن به شرح ذیل می باشد.

• CVE-2023-30999 : این آسیب‌پذیری ممکن است به مهاجم اجازه دهد تا به دلیل مصرف منابع بدون کنترل، یک سرویس را از دست بدهد. (شدت 7.5)
• CVE-2023-31004 : ممکن است Container IBM به یک مهاجم از راه دور امکان دهد که با استفاده از تکنیک‌های Man-in-the-Middle به دستگاه دسترسی پیدا کند.(شدت 8.3)
• CVE-2023-31005 : ممکن است Container IBM به کاربر محلی اجازه دهد که به دلیل یک پیکربندی امنیتی نادرست، سطح دسترسی خود را افزایش دهد.(شدت 6.2)
• CVE-2023-31006 : سرویس IBM Security Verify Access Container ممکن است از طریق سرور DSC، تحت تأثیر حملات انکار سرویس (DoS) قرار بگیرد.(شدت 6.5)
• CVE-2023-32327 : سرویس IBM Security Access Manager Container ممکن است هنگام پردازش داده‌های XML، تحت تأثیر حمله XML (XXE) قرار گیرد. مهاجم از راه دور ممکن است از این آسیب‌پذیری بهره‌برداری کند تا اطلاعات حساس را استخراج و یا منابع حافظه را مصرف کند.(7.1)
• CVE-2023-32329 : سرویس IBM Security Access Manager Container تحت تأثیر این آسیب‌پذیری قرار دارد و به کاربر اجازه می‌دهد که از طریق اعتبارسنجی نادرست فایل، آن‌ها را از یک منبع نادرست دانلود کند.(شدت 6.2)
• CVE-2032-43016 : از طریق این آسیب‌پذیری، سرویس IBM Security Verify Access ممکن است به مهاجم اجازه ورود به سرور را بدون وارد کردن گذرواژه بدهد.(شدت 7.3)

نسخه‌های 10.0.0.0 تا 10.0.6.1 محصولات IBM Security Verify Access Docker وIBM Security Verify Access Appliance تحت تأثیر این آسیب‌پذیری قرار دارند.

لازم است که تمام کاربران، هرچه سریع‌تر محصول خود را به نسخه 10.0.7 ارتقاء دهند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.