IBM WebSphere Application Server 7.0 < Fix Pack 1

medium Nessus プラグイン ID 35082

Language:

概要

リモートアプリケーションサーバーは、複数の脆弱性の影響を受けます。

説明

Fix Pack 1 の前の IBM WebSphere Application Server 7.0 は、リモートホストで実行されているようです。それ自体、報告されているところによれば、複数の脆弱性の影響を受けます。

- PerfServlet コードは、パフォーマンスモニタリングインフラストラクチャ（PMI）が有効な場合に、機密情報を「systemout.log」および ffdc ファイルに書き込みます。
（PK63886）

- Web サービスの Feature Pack の脆弱性により、「UserNameToken」による情報漏洩につながることがあります。
（PK67282）

- 基本 OS によってロックされたユーザーは、管理コンソールで認証できることがあります。（PK67909）

- Web 認証オプション「任意の URI にアクセスすると認証」および「保護されていない URI にアクセスすると使用可能な認証データを使用」が無視されます。セキュリティ制約のないサーブレットは認証されず、「@」記号があるユーザー名は認証に失敗します。
（PK71826）

- JAX-WS の WS-Security は、ログインに失敗したクライアントキャッシュから UsernameTokens を削除しません。（PK72435）

- WSPolicy は、IDAssertion.isUsed が true に設定されているにもかかわらず、SOAP メッセージでパスワードを漏洩し、単純なユーザー名トークンポリシーセットが使用されます。（PK73573）

- SSL トラフィックは、暗号化されていない TCP ルートを介してルーティングされます。
（PK74777）
- 特別に作り上げられたリクエストを送信することにより、リモート攻撃者が、認証が必要な特定の JSP ページへのアクセス権を取得できることがあります。
（PK75248）