Sun Java System Identity Manager 多個漏洞

在 Sun Java System Identity Manager 發現多個漏洞，可利用漏洞繞過某些保安限制、洩露敏感資料、進行跨網腳本程式攻擊或控制受影響的系統。

1. 由於程式存在一個不明錯誤，導致客戶端與 IDM 伺服器在沒有加密的情況下進行通訊。

2. 由於程式存在一個不明錯誤，攻擊者可利用漏洞列舉有效的使用者帳戶。

3. 由於程式存在一個不明錯誤，攻擊者可利用漏洞更改其他使用者的密碼。

4. 由於程式存在一個不明錯誤，攻擊者可利用漏洞進行某些預期中被限制的動作。

成功利用漏洞需要一個有效的使用者帳戶。

5. 由於不明的輸入在使用前並未適當地淨化，可被利用於使用者瀏覽器的受影響頁面中執行任意 HTML 及指令碼。

6. 由於程式存在一個不明錯誤，攻擊者可利用漏洞繞過某些保安限制，允許進行跨網腳本程式及跨網請求偽造攻擊。

成功利用漏洞需要一個有效的使用者帳戶。

7. 由於程式存在一個不明錯誤，攻擊者可利用運行在 Unix / Linux 操作系統上的 resource adapters 執行任意程式碼。

8. 由於程式存在一個不明錯誤，攻擊者可利用漏洞更改 IDM 系統設定資料。

9. 由於程式存在一個不明錯誤，IDM 使用者可在 IDM 伺服器提高權限或執行任意程式碼。

成功利用漏洞可能需要一個有效的使用者帳戶。

這些漏洞被發現在 Sun Java System Identity Manager 7.0、7.1、7.1.1 及 8.0 版本。

注意﹕8.1 版本則不受影響。