IBM WebSphere Application Server 8.0 < Fix Pack 2の複数の脆弱性
medium Nessus プラグイン ID 58596
Language:
概要
リモートアプリケーションサーバーが複数の脆弱性の影響を受ける可能性があります。説明
Fix Pack 2 より前に IBM WebSphere Application Server 8.0 が、リモートホストで実行されている場合、以下の脆弱性の影響を受ける可能性があります:- 「Web 2.0 Messaging service」に関連する未特定のクロスサイトスクリプティング問題が存在します。(PM37840)
- WS-Security の使用時のセキュリティ露出により、JAX-WS を使用するアプリケーションでユーザーが権限を昇格することがあります。(PM43585/CVE-2011-1377)
- 「$WAS_HOME/systemapps/isclite.ear」および「$WAS_HOME/bin/client_ffdc」ディレクトリ内のファイルに安全でないファイル権限が適用されています。これらのアクセス権により、ローカルの攻撃者がこれらのディレクトリのファイルを読み取ることまたは書き込むことができる場合があります。この問題の影響を受けるのは、IBM i オペレーティングシステム上のアプリケーションのみであることに、注意してください。
(PM49712)
- クラス「javax.naming.directory.AttributeInUseException」に存在するエラーにより、古いパスワードにも引き続きアクセス権を提供できることがあります。このエラーは、IBM Tivoli Directory Server を使ってパスワードを更新したときにトリガされます。(PM52049)
ソリューション
バージョン 8.0(8.0.0.2)以降用の修正パック 2 を適用してください。参考資料
http://www-01.ibm.com/support/docview.wss?uid=swg21587536
http://www-01.ibm.com/support/docview.wss?uid=swg21569205
http://www-01.ibm.com/support/docview.wss?uid=swg24031368
http://www.nessus.org/u?609dea34
http://www-01.ibm.com/support/docview.wss?uid=swg27022958#8002
プラグインの詳細
深刻度: Medium
ID: 58596
ファイル名: websphere_8_0_0_2.nasl
バージョン: 1.7
タイプ: remote
ファミリー: Web Servers
公開日: 2012/4/4
更新日: 2018/8/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 4.6
現状値: 3.4
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: cpe:/a:ibm:websphere_application_server
必要な KB アイテム: www/WebSphere
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/3/19
脆弱性公開日: 2012/1/13