Vigil@nce : WebSphere MQ, exécution de commandes de contrôle
décembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Lorsque WebSphere MQ est installé sur OpenVMS, un attaquant peut
être autorisé à exécuter deux commandes de contrôle.
– Gravité : 2/4
– Date création : 17/11/2011
PRODUITS CONCERNÉS
– IBM WebSphere MQ
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit WebSphere MQ peut être administré via des commandes de
contrôle :
– ENDMQCSV : arrêt du serveur de commandes (End MQ Command Server)
– ENDMQLSR : arrêt des listeners d’un Queue Manager (End MQ
Listener)
– etc.
Les utilisateurs autorisés à administrer WebSphere MQ sont placés
dans le groupe MQM (MQ Manager).
Cependant, sous OpenVMS, les commandes ENDMQCSV et ENDMQLSR ne
vérifient pas si l’utilisateur possède les droits du groupe MQM.
Lorsque WebSphere MQ est installé sur OpenVMS, un attaquant peut
donc être autorisé à exécuter deux commandes de contrôle.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/WebSphere-MQ-execution-de-commandes-de-controle-11164