PowerProtect: Enhed DM5500 – Sikkerhedsscanning registrerer "CGI Generic SQL Injection (blind)" på port 443

Summary: PowerProtect Data Manager-enhed [DM5500]: Sikkerhedssårbarhedsscanneren registrerer "CGI Generic SQL Injection (blind)" på port 443 som falsk positiv.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Sikkerhedssårbarhedsscanneren (registrerer følgende på DM5500:

Plugin-id Risiko Vært Port Navn Synopsis Beskrivelse Plugin-output
42424 (EKSTERNT LINK) Høj Apparat TCP/443 CGI generisk SQL-injektion (blind) Et CGI-program, der hostes på fjernwebserveren, er potentielt tilbøjeligt til SQL-injektionsangreb.

Scanningssoftwaren kan få forskellige afkast ved at sende specielt udformede parametre til CGI-scriptet, der hostes på webserveren. Dette tyder på, at det kunne ændre programmets adfærd og få direkte adgang til den underliggende database.

 

Dette kan gøre det muligt for en hacker at omgå godkendelse, få adgang til fortrolige data, ændre databasen eller endda få kontrol over fjernoperativsystemet.

 Med metoden "GET HTTP" fandt scanneren, at:

+ Følgende ressourcer kan være sårbare over for blind SQL-injektion:

+ 'clientId'-parameteren for parameteren /iam-token-handler/public/autoriser CGI:
/iam-token-handler/public/authorize?clientId=common-gui-service'||'common-gui-service


-------- output --------
HTTP/1.1 302
-------- vs --------
HTTP/1.1 400
------------------------

Cause

Da /iam-token-handler/public/authorize kan svare med 302 og 400 fra forskellige anmodninger, antager sårbarhedsscanneren, at den er i fare for en SQL-injektionssårbarhed.

Resolution

Dells ingeniørteam har bekræftet, at dette er en falsk positiv

Tokenhandleren interagerer ikke med nogen af databaserne. 

Affected Products

PowerProtect Data Manager Appliance, PowerProtect DM5500
Article Properties
Article Number: 000236546
Article Type: Solution
Last Modified: 17 Oct 2024
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.