PowerProtect : Appliance DM5500 - L’analyse de sécurité détecte « Injection SQL générique CGI (aveugle) » sur le port 443

Summary: Appliance PowerProtect Data Manager [DM5500] : L’analyseur de failles de sécurité détecte « Injection SQL générique CGI (aveugle) » sur le port 443 comme faux positif.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Le scanner des failles de sécurité (détecte les éléments suivants sur le DM5500 :

Plugin ID Risque Hôte Port Nom Synopsis Description Sortie plugin
42424 (LIEN EXTERNE) Élevé Appliance TCP/443 Injection SQL générique CGI (à l’aveugle) Une application CGI hébergée sur le serveur Web distant est potentiellement sujette aux attaques par injection SQL.

Le logiciel de numérisation peut obtenir des rendements différents en envoyant des paramètres spécialement conçus au script CGI hébergé sur le serveur Web. Cela suggère qu’il pourrait modifier le comportement de l’application et accéder directement à la base de données sous-jacente.

 

Cela pourrait permettre à un attaquant de contourner l’authentification, d’accéder à des données confidentielles, de modifier la base de données ou même de prendre le contrôle du système d’exploitation distant.

 Avec la méthode « GET HTTP », le scanner a constaté que :

+ Les ressources suivantes peuvent être vulnérables à l’injection SQL aveugle :

+ Le paramètre 'clientId' du CGI /iam-token-handler/public/authorize :
/iam-token-handler/public/authorize?clientId=common-gui-service'||'common-gui-service


-------- sortie --------
HTTP/1.1 302
-------- par rapport à --------
HTTP/1.1 400
------------------------

Cause

Étant donné que /iam-token-handler/public/authorize peut répondre par 302 et 400 à partir de différentes demandes, l’analyseur de failles de sécurité suppose qu’il est exposé à un risque d’injection SQL.

Resolution

L’équipe d’ingénierie Dell a confirmé qu’il s’agit d’un faux positif

Le gestionnaire de token n’interagit avec aucune des bases de données. 

Affected Products

PowerProtect Data Manager Appliance, PowerProtect DM5500
Article Properties
Article Number: 000236546
Article Type: Solution
Last Modified: 17 Oct 2024
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.