ICS-CERT informuje o nowych podatnościach w produkcie firmy Fuj. (P23-243)

cert.pse-online.pl 7 miesięcy temu

Produkt	Infrastructure Manager: Advanced Edition V2.8.0.060 Infrastructure Manager: Advanced Edition for PRIMEFLEX V2.8.0.060 Infrastructure Manager: Essential Edition V2.8.0.060
Numer CVE	CVE-2023-39903
Krytyczność	5.9/10
CVSS	AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N
Opis	W programie Fujitsu Software Infrastructure Manager (ISM) przed wersją 2.8.0.061 wykryto problem. Komponent ismsnap (w tym konkretnym przypadku pod adresem /var/log/fujitsu/ServerViewSuite/ism/FirmwareManagement/FirmwareManagement.log) umożliwia niebezpieczne gromadzenie i przechowywanie danych autoryzacyjnych w postaci zwykłego tekstu. Dzieje się tak, gdy użytkownicy przeprowadzają dowolny test konfiguracji adresu repozytorium systemu sprzętowego ISM (Test połączenia) lub regularnie autoryzują się w odniesieniu do już skonfigurowanej zdalnej witryny repozytorium systemu sprzętowego, zgodnie z ustawieniem w Adresie repozytorium systemu sprzętowego ISM. Uprzywilejowana osoba atakująca jest zatem w stanie potencjalnie zebrać powiązane dane konserwacyjne ismsnap w taki sam sposób, w jaki zaufana strona może eksportować dane ismsnap z ISM. Warunki wstępne, aby instalacja ISM była ogólnie podatna na ataki, to włączenie i skonfigurowanie funkcji pobierania systemu sprzętowego (serwera repozytorium systemu sprzętowego) oraz użycie znaku \ (ukośnika odwrotnego) w poświadczeniu użytkownika (tj. identyfikatorze użytkownika lub haśle) zdalny serwer proxy / serwer repozytorium systemu sprzętowego.

Aktualizacja	TAK
Link	https://www.cisa.gov/news-events/ics-advisories/icsa-23-255-02