6.1.0.25 より前のバージョンの IBM WebSphere Application Server の複数の脆弱性

medium Nessus プラグイン ID 39450

Language:

概要

リモートアプリケーションサーバーは複数の脆弱性の影響を受けます。

説明

Fix Pack 25 より前の IBM WebSphere Application Server 6.1 がリモートホストで実行されているようです。このようにこのバージョンは、報告されているところによれば、以下の複数の脆弱性の影響を受けます。

- 標準外の HTTP メソッドが許可されます。（PK73246）

- SPNEGO 実装でのシングルサインオン（SSO）のエラーにより、リモートの攻撃者がセキュリティ制限をバイパスできることがあります。（PK77465）

- 「wsadmin」はセキュリティ漏洩の影響を受けます。（PK77495）

- セキュリティフラグ「isSecurityEnabled」が、VMM から移行後に不適切に設定されます。（PK78134）

- 特定の場合に、慎重な扱いが必要な情報が移行トレースに表示されることがあります。（PK78134）

- Web サービスによる安全でないパスワード難読化アルゴリズムを使用すると、想定よりもセキュリティが弱体化することがあります（クライアントモジュールが ibm-webservicesclient-bind.xmi でのパスワードを指定し、ターゲット環境でカスタムパスワード暗号化が有効になっている場合）。（PK79275）

- 慎重な取り扱いが必要な情報が、トレースファイルに表示されることがあります。
（PK80337）

- XML 電子署名は、セキュリティ問題の影響を受けます。
（PK80596）

- CSIv2 セキュリティが ID アサーションで構成されている場合、リモートの攻撃者がセキュリティ制限をバイパスできることがあります。（PK83097）

- IBM Stax XMLStreamWriter が不適切な XML ファイルに書き込み、これによって XML ファジング攻撃の影響を受けやすくなることがあります。
（PK84015）

- Configservice API により、慎重な取り扱いが必要な情報が表示されることがあります。
（PK84999）

- SOAPAction または WS-Addressing Action がない着信リクエストによって、セキュリティがバイパスされます。（PK72138）

ソリューション

WebSphere Application Server を使用している場合、Fix Pack 25（6.1.0.25）または以降を適用してください。

WebSphere Application Server を使用しておらず、Tivoli Directory Server に付属している組み込み WebSphere Application Server を使用している場合は、推奨されている最新の eWAS フィックスパックを適用してください。