IBM MQ 9.3 LTS, 9.3 CD, 9.4 LTS и 9.4 CD раскрывают потенциально конфиденциальную информацию в файлах трассировки, которые могут быть прочи…
IBM MQ 9.3 LTS, 9.3 CD, 9.4 LTS и 9.4 CD раскрывают потенциально конфиденциальную информацию в файлах трассировки, которые могут быть прочитаны локальным пользователем, когда трассировка веб-консоли включена.
Данные трассировки, собираемые из нескольких источников в системе на кристалле (SoC), хранятся в незащищённых областях или передаются недоверенным агентам.
https://cwe.mitre.org/data/definitions/1323.html →Открыть в коллекции CWE →Злоумышленник использует хорошо известные расположения ресурсов с целью подрыва безопасности цели. В большинстве систем файлы и ресурсы организованы в стандартную древовидную структуру. Это удобно для злоумышленников, поскольку они нередко знают, где искать ресурсы или файлы, необходимые для проведения атак. Даже если точное расположение целевого ресурса неизвестно, соглашения об именовании могут указывать на небольшую область дерева файлов целевой машины, в которой обычно расположены ресурсы. Например, конфигурационные файлы в системах Unix, как правило, хранятся в каталоге /etc. Злоумышленники могут использовать это для проведения атак других типов.
https://capec.mitre.org/data/definitions/150.html →Открыть в коллекции CAPEC →Злоумышленник обнаруживает структуру, функции и состав программного обеспечения с использованием методов анализа по принципу «белого ящика». Методы «белого ящика» включают подходы, применяемые к программному обеспечению в тех случаях, когда исполняемый файл или иной скомпилированный объект может быть непосредственно подвергнут анализу, раскрывая хотя бы часть машинных инструкций, наблюдаемых при исполнении.
https://capec.mitre.org/data/definitions/167.html →Открыть в коллекции CAPEC →Злоумышленник, авторизованный или имеющий возможность выполнять поиск по известным системным ресурсам, делает это с целью сбора полезной информации. Системные ресурсы включают файлы, память и другие аспекты целевой системы. При данном шаблоне атаки злоумышленник не обязательно знает заранее, что именно он обнаружит в ходе извлечения данных. Это отличает данный шаблон от CAPEC-150, где злоумышленник знает, что именно ищет, благодаря общеизвестному расположению данных.
https://capec.mitre.org/data/definitions/545.html →Открыть в коллекции CAPEC →