IBM Rational Rhapsody任意代码执行漏洞

漏洞信息详情

IBM Rational Rhapsody任意代码执行漏洞

• CNNVD编号：CNNVD-201202-161
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2011-1392
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2012-02-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-02-10
  
• 厂        商：
  
  .bbsoftware
• 漏洞来源：
  Andrea Micalizzi a…

IBM Rational Rhapsody的安装过程中存在任意代码执行漏洞。远程攻击者可利用该漏洞在用户相互交互时打开恶意网页或者恶意文件。该漏洞具体存在于BB FlashBack Recorder.dll中：Filename属性借助Start()方法可导致目录遍历攻击，PauseAndSave()借助nextfilename参数也可能导致目录遍历攻击，InsertMarker()与InsertSoundToFBRAtMarker()中的参数容易导致SQL注入漏洞，并结合前面的漏洞实现远程任意代码执行。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.ibm.com/support/docview.wss?uid=swg21576352

来源：www.zerodayinitiative.com

连接：http://www.zerodayinitiative.com/advisories/ZDI-12-028