IBM WebSphere Application Server 8.5 < Fix Pack 8.5.5.1 複数の脆弱性

medium Nessus プラグイン ID 71229

Language:

概要

リモートアプリケーションサーバーが複数の脆弱性の影響を受ける可能性があります。

説明

Fix Pack 8.5.5.1 より前の IBM WebSphere Application Server 8.5 がリモートホストで実行されているようであり、以下の脆弱性の影響を受ける可能性があります：

Apache Ant およびファイル圧縮に関連する欠陥が存在し、サービス拒否状態につながる可能性があります。（CVE-2012-2098/ PM90088）

- 管理コンソールに関連する詳細不明のエラーが存在するため、クロスサイトスクリプティング攻撃が発生する可能性があります。
（CVE-2013-0460 / PM72275 / CVE-2013-5418 / PM96477 / CVE-2013-5425 / PM93828）

- IBM Eclipse Help System に関連して、クロスサイトスクリプティング攻撃や情報漏洩攻撃を可能にする複数のエラーが存在します。（CVE-2013-0464、CVE-2013-0467、CVE-2013-0599/PM89893）

- IBM HTTP サーバーに含まれるオプションの「mod_rewrite」モジュールに、入力検証の欠陥が存在します。これにより、特定のエスケープシーケンスを含む HTTP リクエストを通じて、任意のコマンドが実行される可能性があります。
（CVE-2013-1862/ PM87808）

- IBM HTTP サーバーに含まれるオプションの「mod_dav」モジュールに関連する欠陥が存在し、サービス拒否状態を引き起こす可能性があります。
（CVE-2013-1896/ PM89996）

- ユーザー提供の入力の検証エラーが存在することにより、クロスサイトリクエスト偽造（CSRF）攻撃が実行される可能性があります。（CVE-2013-3029/ PM88746）

- 管理コンソールに関連するユーザー提供の入力の検証エラーが存在し、クロスサイトスクリプティング攻撃を引き起こす可能性があります。
（CVE-2013-4004 / PM81571、CVE-2013-4005 / PM88208）

- 詳細不明な権限のエラーが存在しており、ローカルの攻撃者が機密情報を取得する可能性があります。
注意：この問題の影響を受けるのは、「Liberty Profile」のみです。
（CVE-2013-4006/ PM90472）

- UDDI 管理コンソールに関連する入力検証エラーが存在し、クロスサイトスクリプティング攻撃が発生する可能性があります。（CVE-2013-4052/ PM91892）

- 不適切な証明書チェックのため、攻撃者が権限を昇格する可能性があります。WS-Security and XML Digital Signature を有効にする必要があります。（CVE-2013-4053/ PM90949）

- 正しくないセキュリティロールおよびバージョン 6.1 以降の移行に関連するエラーが存在します。
（CVE-2013-5414/ PM92313）

- クロスサイトスクリプティング攻撃を可能にする、詳細不明な入力検証のエラーが存在します。（CVE-2013-5417 / PM93323 および PM93944）