发布日期：2008-03-04
更新日期：2008-03-10

受影响系统：

IBM Rational ClearQuest 7.0.1.1
IBM Rational ClearQuest 7.0.0.2

不受影响系统：

IBM Rational ClearQuest 7.0.1.1-ifix01
IBM Rational ClearQuest 7.0.0.2-ifix01

描述：

---

BUGTRAQ  ID: 28133,28132
CVE(CAN) ID: CVE-2008-1287,CVE-2008-1288

IBM Rational ClearQuest是全面的软件变更、追踪管理解决方案。

ClearQuest Web在处理用户会话时存在漏洞，远程攻击者可能利用此漏洞获取敏感信息。

ClearQuest Web对成功的登录尝试和失败的尝试可能会生成不同的错误消息，这样攻击者就可以通过登录页面枚举用户名；ClearQuest应用所使用的会话cookie包含有有关用户的信息，用户可以利用这些信息执行进一步的攻击。

<*来源：IBM （ncsupp@ca.ibm.com）
  
  链接：http://secunia.com/advisories/29280/
        http://www-1.ibm.com/support/docview.wss?uid=swg1PK55561
        http://www-1.ibm.com/support/docview.wss?uid=swg1PK55753
*>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24018300
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24018297

浏览次数：2428
严重程度：0（网友投票）