IBM WebSphere Application Server 8.5 < Fix Pack 1 の複数の脆弱性

high Nessus プラグイン ID 62975

Language:

概要

リモートアプリケーションサーバーが複数の脆弱性の影響を受ける可能性があります。

説明

Fix Pack 1 より前の IBM WebSphere Application Server 8.5 がリモートホストで実行されているようであり、以下の脆弱性の影響を受ける可能性があります：

- HTTP リクエストに対する任意のリダイレクト応答を許可できる、「Eclipse Help System」に関連する入力検証のエラーが存在します。（CVE-2012-2159、PM66410）

- SSL/TLS に関連する複数のエラーがあり、これによって、攻撃者がアプリケーションに対してサービス拒否攻撃を実行できることがあります。（CVE-2012-2190、CVE-2012-2191、PM66218）- 管理コンソールに関連する詳細不明のクロスサイトスクリプティング問題が存在します。（CVE-2012-3293、PM60839）

- 「ISC Console」にある詳細不明のエラーにより、リモートの攻撃者がユーザーの有効なセッションを奪う可能性があります。
（CVE-2012-3304、PM54356）

- 詳細不明のディレクトリトラバーサルエラーが存在し、これによってリモートの攻撃者が、アプリケーションのデプロイメントディレクトリの外にあるファイルを上書きできる可能性があります。（CVE-2012-3305、PM62467）

- マルチドメインサポートが有効な場合に、アプリケーションが認証キャッシュからのパスワードを適切にパージしません。（CVE-2012-3306、PM66514）

- 「フェデレーテッドリポジトリ」、「IIOP」接続、「CBIND」チェック、および「Optimized Local Adapters」に関連したエラーがあることににより、リモートの攻撃者がセキュリティ制限をバイパスできることがあります。この問題の影響を受けるのは、z/OS 上で実行されているときのアプリケーションであることに、注意してください。
（CVE-2012-3311、PM61388）

- PM44303 に含まれている修正にエラーがあるため、認証された攻撃者がセキュリティ制限をバイパスし、アプリケーションへの管理者アクセス権を取得できる可能性があります。（CVE-2012-3325、PM71296）

- プロキシサーバーコンポーネントに関連するリクエスト検証エラーが存在することにより、リモートの攻撃者が、プロキシステータスを無効としてレポートさせて、プロキシへのアプリケーションのアクセスを拒否できることができます。
（CVE-2012-3330、PM71319）

-「Liberty Profile」および「JAX-RS」に関連するリクエスト検証エラーが存在し、リモートの攻撃者が権限を昇格する可能性がありますリクエスト検証エラーが存在します。（CVE-2012-4850、PM67082）

-「Liberty Profile」に関連するユーザー指定の入力の検証エラーが存在し、クロスサイトスクリプティング攻撃を仕掛ける可能性があります。（CVE-2012-4851、PM68643）

- ユーザー指定の入力の検証エラーが存在し、クロスサイトリクエスト偽造（CSRF）攻撃が実行される可能性があります。（CVE-2012-4853、PM62920）