Неправильный порядок проверки IP-адреса AUTHORIZED_CTM_IP в Control-M/Agent, где IP-адрес Contr…
Неправильный порядок проверки IP-адреса AUTHORIZED_CTM_IP в Control-M/Agent, где IP-адрес Control-M/Server проверяется только после завершения SSL/TLS-рукопожатия, что подвергает Control-M/Agent уязвимостям в реализации SSL/TLS при определенных нестандартных условиях (например, CVE-2025-55117 или CVE-2025-55118) или потенциально к истощению ресурсов [1][2]. Эта проблема затрагивает Control-M/Agent версии 9.0.20 и ниже. Для устранения рекомендуется обновить Control-M/Agent до последней основной версии и пакета исправлений. В качестве альтернативного решения можно настроить межсетевой экран для ограничения доступа к порту Server-to-Agent только с авторизованных хостов Control-M/Server. Источники: - [1] https://bmcapps.my.site.com/casemgmt/sc_KnowledgeArticle?sfdcid=000442099 - [2] https://bmcapps.my.site.com/casemgmt/sc_KnowledgeArticle?sfdcid=000441968
Программный продукт выполняет несколько связанных операций, однако в неверном порядке, что может порождать производные слабости.
https://cwe.mitre.org/data/definitions/696.html →Открыть в коллекции CWE →Злоумышленник способен эффективно расшифровывать данные, не зная ключа дешифрования, если целевая система раскрывает информацию о том, возникла ли ошибка дополнения при расшифровке зашифртекста. Целевая система, утечку такой информации, становится оракулом дополнения, а злоумышленник может использовать этот оракул для эффективной расшифровки данных без знания ключа дешифрования, выполнив в среднем 128*b обращений к оракулу дополнения (где b — количество байт в блоке зашифртекста). Помимо расшифровки, злоумышленник способен также формировать корректные зашифртексты (то есть выполнять шифрование) с использованием оракула дополнения, не зная ключа шифрования.
https://capec.mitre.org/data/definitions/463.html →Открыть в коллекции CAPEC →