发布日期：2009-03-20
更新日期：2009-03-23

受影响系统：

Sun Java System Identity Manager 8.0
Sun Java System Identity Manager 7.1.1
Sun Java System Identity Manager 7.1
Sun Java System Identity Manager 7.0

描述：

---

BUGTRAQ  ID: 34191

Sun Java System Identity Manager是一个完整的端到端的保护敏感数据和管理标识配置文件与许可的解决方案。

Sun Java System Identity Manager（IdM）受多个安全漏洞影响，具体如下：
  
由于没有使用SSL加密某些连接，远程非特权用户可以非授权访问客户端与IdM服务器之间所传输的数据（17763）。
    
本地或远程非特权用户可以判断是否存在有效的IdM帐号名（18052，18104）。
  
在IdM服务器上拥有帐号的用户可以更改其他IdM帐号的口令（18578）。
  
在IdM服务器上拥有帐号的用户可以执行某些所分配能力之外的操作（18946，20352）

由于多个跨站脚本漏洞，远程非特权用户可以在用户浏览器中执行非授权的HTML代码或客户端脚本（19033，19595，19659，19660，19661，19683）。

在IdM服务器上拥有帐号的用户可以向管理控制台提交任意命令执行创建帐号等管理操作（19115）。
  
本地或远程非特权用户可以在基于Unix/Linux的资源适配器上执行任意命令（20174）。

本地或远程非特权用户可以修改IdM系统配置数据（20224）。

<*来源：Dan Sinclair
        Alexandre Bezroutchko
  
  链接：http://secunia.com/advisories/32606/
        http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-253267-1
*>

建议：

---

厂商补丁：

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-253267）以及相应补丁:
Sun-Alert-253267：Sun Java System Identity Manager Security Vulnerabilities
链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-66-253267-1

浏览次数：2398
严重程度：0（网友投票）