IBM BigFix Platform 9.1.x < 9.1.1328.0/9.2.x < 9.2.11.19の複数の脆弱性

critical Nessus プラグイン ID 102019

Language:

概要

リモートホストで実行されているインフラストラクチャ管理アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートホストで実行されているIBM BigFix Platformアプリケーションは、9.1.1328.0より前の9.1.x、または9.2.11.19より前の9.2.xです。したがって、複数の脆弱性の影響を受けます。- inftrees.cファイル内のzlibに領域外ポインター演算エラーがあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたドキュメントを通じて、サービス拒否状態を引き起こす可能性があります。（CVE-2016-9840）- inffast.cファイル内のzlibに、領域外ポインター演算エラーがあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたドキュメントを通じて、サービス拒否状態を引き起こす可能性があります。（CVE-2016-9841）- inflate.cファイル内のz_streamp()関数のzlibに、負の数の左シフトに関連する欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたドキュメントを通じて、サービス拒否状態を引き起こす可能性があります。（CVE-2016-9842）ビッグエンディアンポインターの計算を処理するとき、crc32.cファイル内のcrc32_big()関数に領域外ポインターの欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたドキュメントを通じて、サービス拒否状態を引き起こす可能性があります。（CVE-2016-9843）- ユーザー指定の入力がユーザーに返す前に不適切に検証されているため、クロスサイトスクリプティング（XSS）の脆弱性がWebベースのユーザーインターフェイスにあります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたリクエストを介してユーザーのブラウザーセッションで任意のスクリプトコードを実行する可能性があります。（CVE-2017-1203）- XMLパーサーが不適切に構成され、信頼できないソースからXML外部エンティティを受信するために、XMLデータを解析するときXML外部エンティティ（XXE）インジェクションの脆弱性があります。認証されたリモートの攻撃者がこれを悪用し、特別に細工されたXMLデータを通じて、秘密情報を漏えいしたりサービス拒否状態を引き起こしたりする可能性があります。（CVE-2017-1219）IBM BigFixは、以前はTivoli Endpoint Manager、IBM Endpoint Manager、およびIBM BigFix Endpoint Managerとして知られていました。Nessusはこれらの問題をテストしていませんが、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。