Уязвимость в ARIS Connect
Описание обнаруженной уязвимости в ARIS Connect.
Обнаружена уязвимость в ARIS Connect в алгоритме работы с XML документами, позволяющая злоумышленнику получить несанкционированный доступ к данным на сервере.
Как это происходит?
Используя представление XML-файла, злоумышленник может вызвать приложение обработки, которое имеет доступ к содержимому важных локальных файлов системы, например, win.ini в Windows или файл, содержащий пароли, в системе Unix.
Кроме того, злоумышленник может сделать исходящие запросы с сервера, которые могут быть использованы для обхода ограничений брендмауэра или скрытия источника атаки.
Устранение уязвимости.
Данная уязвимость касается следующих версий и релизов:
- ARIS 9.8 SR6,
- ARIS 9.8 SR7
- ARIS 9.8 SR8
- ARIS 10.0
Уязвимость устранена в версии ARIS 10 SR 1 и будет устранена в следующем релизе ARIS 9.8 (SR9).
Для остальных релизов ARIS 9.8 уже доступны пакеты исправлений. Их можно запросить в службе технической поддержки Software AG Global Support.
Для клиентов Дайнова Консалтинг, имеющих договора технической поддержки, мы предоставим всю имеющуюся информацию, для остальных клиентов более подробно можно узнать на портале Empower в службе технической поддержки Software AG Global Support.