(R2) ManageEngine OpManager /服务台多个漏洞

# 1:cve - 2016 - 82014:业务经理——一个SQL注入漏洞被报道对2014/08/19 ManageEngine Andrea Micalizzi (rgod),影响版本11.3和11.4 ManageEngine OpManager,据说和修补在2014/11/10 11.5版本。这个问题被分配cve - 2014 - 7867,概括为“ManageEngine OpManager / servlet / APMBVHandler OPM_BVNAME SQL注入参数”。Nessus漏洞扫描器检测插件的工作时,我们的一个研究工程师发现这个问题的补丁不完全缓解该问题。其他两个SQL注入问题报道同时似乎完全修补11.5版本。

这个问题是由于补丁直接反应到原始利用字符串:

POST / servlet / APMBVHandler ? OPERATION_TYPE = Delete&OPM_BVNAME = aaa ' % 3 bcreate +表+ pulicia +(流星锤+文本)% 3 b +

的补丁getDevicesInBusinessView ()函数DeviceDetailsUtil.class的OpManagerServerClasses.jar是这样修改:

system . out。println(“更新视图:”+ bool);如果(str1.toLowerCase ()。indexOf (“create table”) ! = 1) {{paramHttpServletResponse试试。sendError(403年,“探针的名字添加/更新不是一个有效的一个”);返回;}捕捉(异常localException2) {}

因此,如果一个利用精心设计,使用SQL语法之外的创建表”,它仍然有效。

# 2:cve - 2016 - 82015:业务经理——在我们的内部测试检测插件,相同的工程师注意到有一个反映跨站点脚本(XSS)漏洞的OPM_BVNAME参数的APMBVHandlerservlet,显示注射没有过滤的内容ViewName财产。这影响到版本11.3、11.4和11.5 ManageEngine OpManager,但是补丁提供SQL注入问题也修复了这个问题,版本11.5补丁应用时不受影响。

# 3:服务台——1月23日,2015年,两个枚举问题被报道是固定在ManageEngine服务台:

117583 2015-01-23 ManageEngine服务台/ servlet / AJaxServlet多个远程用户名枚举行动
117584 2015-01-23 ManageEngine服务台/ domainServlet AJaxDomainServlet searchLocalAuthDomain行动远程用户/域枚举

这些报道是固定的9031年版本9.0。然而,由我们的一个工程师内部测试表明,9045年版本9.0构建9031和9.0构建AjaxDomainServlet问题不在于修补。看来解决消除了JavaScript信息登录表单的域,但公众面临servlet是留在的地方。这允许远程攻击者直接调用servlet列举用户和他们的领域。