IBM WebSphere Application Server < 6.0.2.35 の複数の脆弱性
medium Nessus プラグイン ID 38978
Language:
概要
リモートアプリケーションサーバーは、複数の脆弱性の影響を受けます。説明
Fix Pack 35 より前の IBM WebSphere Application Server 6.0.2 がリモートホストで実行されているようです。これにより、報告によれば以下の複数の脆弱性の影響を受けます:- 標準外の HTTP メソッドが許可されます。(PK73246)
- LPTATokenクッキーを使用したログインは、LTPATokenの有効期限をLTPATokenタイムアウト値より長くする可能性があります。(PK75919)
- サンプルアプリケーションに、クロスサイトスクリプティングの脆弱性が存在します。(PK76720)
- 管理コンソールがhttpから直接アクセスされた場合、管理コンソールはその接続を安全なログインページにリダイレクトできません。(PK77010)
- 「wsadmin」はセキュリティ漏洩の影響を受けます。(PK77495)
- XML 電子署名は、セキュリティ問題の影響を受けます。
(PK80596)
- 特定の場合に、アプリケーションのソースファイルが漏洩します。(PK81387)
- Configservice APIにより、慎重な取り扱いが必要な情報が表示されることがあります。(PK84999)
ソリューション
Fix Pack 35(6.0.2.35)以降を適用してください。参考資料
http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg27006876#60235
プラグインの詳細
深刻度: Medium
ID: 38978
ファイル名: websphere_6_0_2_35.nasl
バージョン: 1.17
タイプ: remote
ファミリー: Web Servers
公開日: 2009/6/2
更新日: 2018/8/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: cpe:/a:ibm:websphere_application_server
必要な KB アイテム: www/WebSphere
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2009/6/1
参照情報
CVE: CVE-2009-1898, CVE-2009-1899, CVE-2009-1900, CVE-2009-1901
BID: 35405