IBM WebSphere Application Server 7.0 < Fix Pack 11 の複数の脆弱性

critical Nessus プラグイン ID 47112

Language:

概要

リモートアプリケーションサーバーは、複数の脆弱性の影響を受けます。

説明

Fix Pack 11 より前の IBM WebSphere Application Server 7.0 が、リモートホストで実行されているようです。それ自体、報告されているところによれば、以下の脆弱性の影響を受けます。

- PKIPath および PKCS#7 のトークンの問題を処理する WS-Security により、セキュリティバイパス脆弱性が発生することがあります。（PK96427）

- Deployment Manager および nodeagent に関連するメモリ不足状態により、サービス拒否が発生することがあります。（PM05663）

- Web Container が長いファイル名を適切に処理しないため、不適切なファイルで応答することがあり、潜在的に機密情報が漏洩することがあります。（PM06111）

- 特定されていないオブジェクトの文字列表現を表示するデバッグ文を WAS が実行するため、「-trace」オプション（別名デバッグモード）が有効なときに情報漏洩脆弱性が存在します。（PM06839）

- 関連する Web が Transfer-Encoding:chunked で response.sendRedirect を呼び出すときにエラーが発生し、
これによってサービス拒否が発生することがあります。
（PM08760）

- SIP ロギングの情報漏洩脆弱性により、認証されたローカルの攻撃者が、機密情報にアクセスできることがあります。（PM08892）

- gzip エンコーディングされた大きなチャンク化データを処理するとき、NullPointerException が発生する可能性があります。（PM08894）

- リンク注入の脆弱性の可能性があります。（PM09250）

- SSL で 2 GB より大きいアップロードをしているときに、Web サーバーに障害が発生することがあります。（PM10270）

- -trace オプションが有効なとき、管理コンソールの機密情報が addNode.log に表示されることがあります。（PM10684）

- 管理コンソールでのクロスサイトスクリプティングおよび URL 注入の脆弱性。（PM11778）

ソリューション

WebSphere Application Server を使用している場合、Fix Pack 11（7.0.0.11）または以降を適用してください。

WebSphere Application Server を使用しておらず、Tivoli Directory Server に付属している組み込み WebSphere Application Server を使用する場合は、推奨されている最新の eWAS フィックスパックを適用してください。