IBM WebSphere Application Server 7.0 < Fix Pack 15 の複数の脆弱性

high Nessus プラグイン ID 52615

Language:

概要

リモートアプリケーションサーバーは、複数の脆弱性の影響を受けます。

説明

Fix Pack 15 より前の IBM WebSphere Application Server 7.0 が、リモートホストで実行されているようです。それ自体、報告されているところによれば、以下の脆弱性の影響を受けます。

- BBOOORBR コントロールブロックのダブルフリーエラーにより、サービス拒否状態がトリガされることがあります。（PM17170）

- Web コンテナにクロスサイトスクリプティング脆弱性があります。（PM18512）

- 認証を受けたユーザーは、Lightweight Third-Party Authentication（LTPA）トークンを認証に使用することで、DoS 状態をトリガできます。
（PM18644）

- トレースファイルに慎重な扱いが必要な wsadmin コマンドパラメータが含まれており、これによって情報漏洩脆弱性が生じることがあります。（PM18736）

- 「com.ibm.ws.jsp.runtime.WASJSPStrBufferImpl」でのメモリ漏洩により、DoS 状態がトリガされることがあります。（PM19500）

- WebSphere Web サービスランタイムが提供する SAAJ API を使って、DoS 状態をトリガできます。
（PM19534）

- Service Integration Bus（SIB）メッセージングエンジンは、DoS 問題の影響を受けます。（PM19834）

- インストーラーが、オープンな「777」権限で一時ログファイルディレクトリを作成します。（PM20021）

- IVT アプリケーションにクロスサイトスクリプティング脆弱性があります。（PM20393）

- ユーザーがログアウトした後であっても、ユーザーの認証情報はキャッシュから消去されません。（PM21536）

- トレースリクエストが適切に処理されず、このため、未特定の問題が発生することがあります。（PM22860）

- 「org.apache.jasper.runtime.JspWriterImpl.response」でのメモリ漏洩により、サービス拒否状態がトリガされることがあります。（PM23029）

- 特定の状況下で、SIP プロキシが UDP メッセージの処理を停止することがあり、その結果 DoS 状態になります。（PM23115）

- メッセージングエンジンのメモリ漏洩により、サービス拒否状態がトリガされることがあります。（PM23626）

- 特定のコントロールサーブレットへの不適切なアクセスが可能になります。
（PM24372）

- AuthCache パージ実装が、AuthCache のユーザーをパージできません。（PM24668）

- J2EE 1.4 アプリケーションの使用中に、不適切なセキュリティロールマッピングが発生することがあります。（PM25455）

- 管理者ロールのメンバーは、管理コンソールを使ってプライマリ管理 ID を変更できます。（PK88606）

ソリューション

WebSphere Application Server を使用している場合、Fix Pack 15（7.0.0.15）または以降を適用してください。

WebSphere Application Server を使用しておらず、Tivoli Directory Server に付属している組み込み WebSphere Application Server を使用する場合は、推奨されている最新の eWAS フィックスパックを適用してください。