6.1.0.31 より前のバージョンの IBM WebSphere Application Server 6.1 の複数の脆弱性

medium Nessus プラグイン ID 45430

Language:

概要

リモートアプリケーションサーバーは、複数の脆弱性の影響を受けます。

説明

Fix Pack 31 より前の IBM WebSphere Application Server 6.1 がリモートホストで実行されているようです。それ自体、報告されているところによれば、以下の複数の脆弱性の影響を受けます。

- 管理者ロールのメンバーは、管理コンソールを使ってプライマリ管理 ID を変更できます。（PK88606）

- 管理コンソールの、特定されていないクロスサイトスクリプティング脆弱性。（PK97376）

- wsadmin スクリプト「J2CConnectionFactory」オブジェクトを定義するときのエラーにより、パスワードが暗号化されないで resources.xml ファイルに保存されます。（PK95089）

- ORB ListenerThread に関連したエラーにより、認証されたリモートユーザーがサービス拒否を発生できることがあります。
（PK93653）

- SIP ロギングの情報漏洩脆弱性により、認証されたローカルの攻撃者が、機密情報へのアクセス権を取得できることがあります。（PM08892）

- 特定されていないオブジェクトの文字列表現を表示するデバッグ文をWAS が実行するため、「-trace」オプション（別名デバッグモード）が有効なときに情報漏洩脆弱性が存在します。（PM06839）

- Web Container が長いファイル名を適切に処理しないため、間違ったファイルで応答することがあり、潜在的に機密情報が漏洩することがあります。（PM06111）

- 関連する Web が Transfer-Encoding:chunked で response.sendRedirect を呼び出すときにエラーが発生し、
これによってサービス拒否が発生することがあります。
（PM08760）

- PKIPath および PKCS#7 のトークンの問題を処理する WS-Security により、セキュリティバイパス脆弱性が発生することがあります。（PK96427）

- Deployment Manager および nodeagent に関連するメモリ不足状態により、サービス拒否が発生することがあります。（PM05663）

ソリューション

WebSphere Application Server を使用する場合、Fix Pack 31（6.1.0.31）または以降を適用
してください。

WebSphere Application Server を使用しておらず、Tivoli Directory Server に付属している組み込み WebSphere Application Server を使用する場合は、推奨されている最新の eWAS フィックスパックを適用してください。