Vigil@nce - IBM Tivoli/Security Directory Server : traversée de répertoire
septembre 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut traverser les répertoires de IBM
Tivoli/Security Directory Server, afin de lire un fichier situé
hors de la racine du service.
Produits concernés : Security Directory Server, Tivoli Directory
Server.
Gravité : 2/4.
Date création : 12/07/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit IBM Tivoli/Security Directory Server dispose d’un
service web.
Cependant, les données provenant de l’utilisateur sont
directement insérées dans un chemin d’accès. Les séquences
comme "/.." permettent alors de remonter dans l’arborescence.
Un attaquant peut donc traverser les répertoires de IBM
Tivoli/Security Directory Server, afin de lire un fichier situé
hors de la racine du service.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET