漏洞信息详情
IBM WebSphere MQ Queue Manager 多个本地特权升级漏洞
- CNNVD编号:CNNVD-200902-544
- 危害等级: 中危
- CVE编号: CVE-2009-0439
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2009-02-24
- 威胁类型: 本地
- 更新时间: 2009-03-06
- 厂 商: ibm
- 漏洞来源: IBM
漏洞简介
消息队列(MQ)是一种应用程序对应用程序的通信方法。应用程序通过写和检索出入列队的针对应用程序的数据(消息)来通信,而无需专用连接来链接它们。消息传递指的是程序之间通过在消息中发送数据进行通信,而不是通过直接调用彼此来通信,直接调用通常是用于诸如远程过程调用的技术。排队指的是应用程序通过队列来通信。队列的使用除去了接收和发送应用程序同时执行的要求。
IBM WebSphere MQ 产品支持应用程序通过不同组件如处理器、子系统、操作系统以及通信协议的网络彼此进行通信
IBM WebSphere MQ (WMQ) 5.3版本, 6.0.2.6之前的版本6.0,以及7.0.0.2之前的版本7.0的队列管理员中存在未明漏洞。本地用户可以借助与(1)setmqaut,(2)dmpmqaut,以及(3)dspmqaut认证参数相关的向量,获得特权。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www14.software.ibm.com/webapp/download/preconfig.jsp?id=2009-08-28+03%3A34%3A46.648052R&S_TACT=104CBW71&S_CMP= wmqtrk
参考网址
来源: XF
名称: websphere-mq-privilege-escalation(48529)
链接:http://xforce.iss.net/xforce/xfdb/48529
来源: MISC
链接:http://www-01.ibm.com/support/docview.wss?rs=171&uid=swg27006037
来源: BID
名称: 33857
链接:http://www.securityfocus.com/bid/33857
来源: SECUNIA
名称: 34034
链接:http://secunia.com/advisories/34034
来源: OSVDB
名称: 52297
链接:http://osvdb.org/52297
受影响实体
- Ibm Websphere_mq:6.0.1.0
- Ibm Websphere_mq:6.0.0.0
- Ibm Websphere_mq:5.3.1
- Ibm Websphere_mq:5.3:-:Express
- Ibm Websphere_mq:5.3
补丁
暂无
评论