検出

IBM WebSphere Application Server 8.0 < Fix Pack 4 の複数の脆弱性

medium Nessus プラグイン ID 61459

Language:

概要

リモートアプリケーションサーバーが複数の脆弱性の影響を受ける可能性があります。

説明

Fix Pack 4 より前に IBM WebSphere Application Server 8.0 が、リモートホストで実行されている場合、以下の脆弱性の影響を受ける可能性があります:

- HTTP リクエストに対する任意のリダイレクト応答を許可できる、「Eclipse Help System」に関連する入力検証のエラーが存在します。(CVE-2012-2159、 CVE-2012-2161、PM62795)

- 「Application Snoop Servlet」および欠落しているアクセスコントロールに関連するエラーがあります。このエラーにより、機密情報を漏洩できることがあります。この問題を悪用するには、デフォルトの「Application Snoop Servlet」がインストールおよび実行されている必要があることに、注意してください。
 (CVE-2012-2170、PM56183)

- SSL/TLS に関連する複数のエラーがあり、これによって、攻撃者がアプリケーションに対してサービス拒否攻撃を実行できることがあります。(CVE-2012-2190、 CVE-2012-2191、PM66218)

- 管理コンソールに関連する、詳細不明のクロスサイトスクリプティングの問題が存在します。(CVE-2012-3293、PM60839)

ソリューション

バージョン 8.0(8.0.0.4)以降用の修正パック 4 を適用してください。

参考資料

http://www-01.ibm.com/support/docview.wss?uid=swg21606096

http://www-01.ibm.com/support/docview.wss?uid=swg27022958#8004

プラグインの詳細

深刻度: Medium

ID: 61459

ファイル名: websphere_8_0_0_4.nasl

バージョン: 1.13

タイプ: remote

ファミリー: Web Servers

公開日: 2012/8/9

更新日: 2019/12/4

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.7

CVSS v2

リスクファクター: Medium

基本値: 5.8

現状値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2012-2159

脆弱性情報

CPE: cpe:/a:ibm:websphere_application_server

必要な KB アイテム: www/WebSphere

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/8/6

脆弱性公開日: 2012/5/29

参照情報

CVE: CVE-2012-2159, CVE-2012-2161, CVE-2012-2170, CVE-2012-2190, CVE-2012-2191, CVE-2012-3293

BID: 53755, 53884, 54051, 54743, 54819, 55149, 55185

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990