Data Risk Manager

Die Schwachstelle betrifft den IBM Data Risk Manager, eine Lösung zur Erkennung und Bewertung von Datenrisiken. Der Fehler erlaubt einen sogenannten Directory-Traversal-Angriff: Über eine eigens präparierte URL-Anfrage kann ein Angreifer aus der vorgesehenen Verzeichnisstruktur ausbrechen und auf Dateien zugreifen, die eigentlich außerhalb seines Zugriffsbereichs liegen. Auf diese Weise lassen sich beliebige Dateien vom betroffenen System herunterladen – möglicherweise auch sensible Konfigurations-, Anwendungs- oder Datendateien. Der Angriff ist aus der Ferne über das Netzwerk möglich, setzt allerdings voraus, dass der Angreifer bereits angemeldet ist, also über gültige Zugangsdaten verfügt. Eine vorherige Authentifizierung ist somit erforderlich, eine besondere Benutzerinteraktion auf Seiten des Opfers jedoch nicht. Da das Produkt selbst dem Schutz und der Verwaltung sensibler Unternehmensdaten dient, wiegt ein unberechtigter Dateizugriff hier besonders schwer.