BiznetBiznet

By Murat Aydemir

Dell EMC Open Manage System Administrator Improper Range Header Processing Güvenlik Açıkları


CVE: CVE-2019-3721
CVSS: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
Risk Seviyesi: Orta
Ürün: Open Manage System Administrator (OMSA)
Etkilenen Sürümler: Open Manage System Administrator (OMSA) versiyon 9.3.0 öncesi tüm versiyonlar
Yama Tarihi: 24.04.2019
Raporlayan: Murat Aydemir
Problem Detayları: Dell EMC Open Manage System Administrator (OMSA) uygulamasında Improper Range Header Processing zafiyeti tespit edilmiştir. Kimliği doğrulanmamış saldırganlar, ilgili zafiyeti kullanarak sunucu üzerinde aşırı bellek tüketimine yol açarak hizmet kesintisine sebep olabilmektedir.
Çözüm/Öneri: Open Manage System Administrator (OMSA)’nın 9.3.0 ya da daha güncel bir sürümüne geçilmesi önerilmektedir.
Referanslar:
https://www.dell.com/support/article/tr/tr/trbsdt1/sln316915/dsa-2019-060-dell-emc-open-manage-system-administrator-multiple-vulnerabilities
https://nvd.nist.gov/vuln/detail/CVE-2019-3721

By İsmail Mert Ay Ak

Siemens Spectrum Power 3/4/5/7 Cross Site Scripting (XSS) Güvenlik Zafiyeti

CVE: CVE-2019-10933

Risk Seviyesi: Yüksek

Ürün: Siemens Spectrum Power 3/4/5/7

Etkilenen Sürümler: Spectrum Power 3 (v3.11 ve öncesi tüm sürümler), Spectrum Power 4 (v4.75), Spectrum Power 5 (v5.50 ve öncesi tüm sürümler), Spectrum Power 7 (v2.20 ve öncesi tüm sürümler)

Raporlanma Tarihi: Kasım 2018

Yayınlanma Tarihi: 9 Temmuz 2019

Raporlayan: İsmail Mert AY AK

Problem Detayları: Siemens Spectrum Power uygulamasının tüm sürümlerinde Cross Site Scripting (XSS) zafiyetine neden olan problem tespit edilmiştir. XSS zafiyetleri kullanıcılara ait oturum bilgilerini çalma amaçlı saldırılarda kullanılabilirler.

Çözüm/Öneri: Siemens Energy Customer Support Center veya Siemens distribütörü ile iletişime geçerek, Siemens tarafından bu zafiyet için yayınlanan Spectrum Power’ın en güncel sürümüne geçilmesi tavsiye edilmektedir.

Referanslar:

https://cert-portal.siemens.com/productcert/pdf/ssa-747162.pdf
https://www.us-cert.gov/ics/advisories/icsa-19-190-04

By Ece Örsel

SAP J2EE Engine/7.01/Fiori Multiple Cross Site Scripting (XSS) Güvenlik Açıkları

CVE: CVE-2018-17862, CVE-2018-17862, CVE-2018-17865

Risk Seviyesi: Yüksek

Ürün: SAP J2EE Engine/Fiori

Etkilenen Sürümler: SAP J2EE Engine/7.01/Fiori

Raporlama Tarihi: 19 Temmuz 2018

Raporlayan: Ece ÖRSEL

Problem Detayları:SAP J2EE Engine/7.01/Fiori uygulamasında Cross Site Scripting (XSS) zafiyetine neden olan problem tespit edilmiştir. XSS zafiyetleri kullanıcılara ait oturum bilgilerini çalma amaçlı saldırılarda kullanılabilirler.

Çözüm/Öneri: SAP J2EE Engine ‘nin en güncel sürümüne geçilmesi önerilmektedir.

Referanslar: https://packetstormsecurity.com/files/151947/SAP-J2EE-Engine-7.01-Fiori-Protocol-Cross-Site-Scripting.html

By Murat Aydemir

ManageEngine OPManager Unrestricted/Arbitrary File Upload Güvenlik Açıklığı

CVE: CVE-2018-18475

CVSS:9.6 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Risk Seviyesi: Acil

Ürün: ManageEngine OPManager

Etkilenen Sürümler: OPManager version 12.3

Yama Tarihi: 16.10.2018

Raporlayan: Murat Aydemir

Problem Detayları:İlgili uygulama içerisinde iş tanımı yapılırken kullanılan dosya yükleme fonksiyonunun content-type ve extension kontrollerini eksiz/geçersiz yapması, kötü niyetli saldırganların, sunucu üzerinde kod çalıştırmalarını sağlayacak zararlı kodları sisteme yüklemesine olanak tanımaktadır.

Çözüm/Öneri:ManageEngine ilgili zafiyeti giderek yeni bir sürüm çıkarmıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir.

Referanslar:

https://seclists.org/fulldisclosure/2018/Oct/42
https://www.manageengine.com/network-monitoring/help/read-me.html
https://bugbounty.zoho.com/bb/info#hof

By Biznet Bilişim A.Ş.

Zoho ManageEngine Opmanager SQL Injection Güvenlik Açığı

CVE: CVE-2018-18949

CVSS:9.6 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Risk Seviyesi: Acil

Ürün: ManageEngine OPManager

Etkilenen Sürümler: OPManager version 12.3

Yama Tarihi: 16.11.2018

Raporlayan: Hakan Bayır

Problem Detayları: Zoho ManageEngine Opmanager 12.3 sürümü SQL Injection güvenlik probleminden etkilenmektedir. SQL Injection güvenlik problemi veritabanı üzerinde istenilen sorguların ve işletim sistemi üzerinde komut çalıştırılmasına neden olabilir.

Çözüm/Öneri:ManageEngine ilgili zafiyeti giderek yeni bir sürüm çıkarmıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir.

Referanslar:

https://seclists.org/fulldisclosure/2018/Nov/24
https://nvd.nist.gov/vuln/detail/CVE-2018-18949
https://www.manageengine.com/network-monitoring/help/read-me.html

1 2 3 7