详细内容或原文请订阅后点击阅览
Perfect 10 目录遍历漏洞影响 SailPoint 的 IAM 解决方案
20 年前的信息泄露类漏洞仍然渗透到安全软件中。在 SailPoint 披露其身份和访问管理 (IAM) 平台 IdentityIQ 中存在一个 10/10 严重性漏洞后,是时候启动那些补丁引擎了。
来源:The Register _恶意软件在 SailPoint 披露其身份和访问管理 (IAM) 平台 IdentityIQ 中存在一个 10/10 严重性漏洞后,是时候启动这些补丁引擎了。
在撰写本文时,该漏洞尚未附加到安全公告中,但该漏洞已于周一报告给国家漏洞数据库 (NVD),然后该数据库为其分配了 CVE-2024-10905 标识符。
国家漏洞数据库鉴于 NVD 很少发布对漏洞的完整分析,并且没有附带的咨询,因此该漏洞的详细信息很少。
但是,我们知道弱点枚举是 CWE-66。这些漏洞也称为目录遍历漏洞,是数十年前存在的易于利用的漏洞类型,美国网络安全和基础设施安全局 (CISA) 在今年早些时候敦促供应商解决这些漏洞。
敦促供应商予以解决事实上,根据 2007 年的一篇论文 [PDF],安全组织 MITRE 早就称其为“不可原谅”。
论文目录遍历(有时称为路径遍历)可在软件未能清理用户输入时被利用,从而允许该用户访问他们通常没有必要权限查看的文件目录。
这会导致敏感信息的泄露,并可能对系统造成更大范围的危害。
此类漏洞之前曾被描述为“令人尴尬的易被利用”。
描述为CISA 表示:“目录遍历漏洞之所以得逞,是因为技术制造商未能将用户提供的内容视为潜在恶意内容,因此未能充分保护其客户。”
该机构的警告是今年早些时候发布的众多警告之一,旨在支持其推动在软件开发中采用安全设计原则的活动。 这个想法是,如果供应商解决了最基本的安全问题,破坏关键服务的攻击数量就会大幅下降。
采用安全设计原则 注册