検出

IBM WebSphere Application Server 8.0 < Fix Pack 8の複数の脆弱性

medium Nessus プラグイン ID 72062

Language:

概要

リモートアプリケーションサーバーが複数の脆弱性の影響を受ける可能性があります。

説明

Fix Pack 8 より前の IBM WebSphere Application Server 8.0 がリモートホストで実行されているようです。このため、以下の脆弱性の影響を受ける可能性があります。

 - 管理コンソールのポートレットの検証が不適切なために、IBM WebSphere Application Server に CSRF 脆弱性が存在します。(CVE-2013-0460、PM72275)

 - トラストストアを使用する XML デジタル署名に対して構成される WS-Security を使用する IBM WebSphere Application Servers に、権限昇格の脆弱性が存在します。
 (CVE-2013-4053、PM90949、PM91521)

 - IBM WebSphere Application Server に XSS の脆弱性が存在します。これは、UDDI 管理コンソールで、ユーザー指定の入力のサニタイズに失敗することが原因です。
 (CVE-2013-4052、PM91892)

 - バージョン 6.1 以降から移行された IBM WebSphere Application Servers に、権限昇格の脆弱性が存在します。(CVE-2013-5414、PM92313)

 - IBM WebSphere Application Server に XSS の脆弱性が存在します。これは、アプリケーションの HTTP 応答データのサニタイズに失敗することが原因です。(CVE-2013-5417、PM93323、PM93944)

 - IBM WebSphere Application Server に XSS の脆弱性が存在します。これは、管理コンソールで、ユーザー指定の入力のサニタイズに失敗することが原因です。(CVE-2013-5418、PM96477)

 - IBM WebSphere Application Server に XSS の脆弱性が存在します。これは、管理コンソールで、ユーザー指定の入力のサニタイズに失敗することが原因です。(CVE-2013-6725、PM98132)

 - IBM WebSphere Application Server に、サービス拒否の脆弱性が存在します。これは、Web サービスエンドポイントによるリクエストが適切に処理されないことが原因です。
 (CVE-2013-6325、PM99450)

 - IBM WebSphere Application Server に付属の IBM SDK for Java に、JSSE に関連する情報漏洩の脆弱性が存在します。(CVE-2013-5780)

 - IBM WebSphere Application Server に付属の IBM SDK for Java に、XML に関連するサービス拒否の脆弱性が存在します。(CVE-2013-5372)

 - IBM WebSphere Application Server に付属の IBM SDK for Java に、JSSE に関連するサービス拒否の脆弱性が存在します。(CVE-2013-5803)

ソリューション

バージョン 8.0(8.0.0.8)以降用の修正パック 8 を適用してください。

参考資料

http://www.nessus.org/u?e351e029

https://www-304.ibm.com/support/docview.wss?uid=swg21661325

https://www-304.ibm.com/support/docview.wss?uid=swg21655990

プラグインの詳細

深刻度: Medium

ID: 72062

ファイル名: websphere_8_0_0_8.nasl

バージョン: 1.5

タイプ: remote

ファミリー: Web Servers

公開日: 2014/1/20

更新日: 2018/8/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:ibm:websphere_application_server

必要な KB アイテム: www/WebSphere

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/1/15

脆弱性公開日: 2013/1/27

参照情報

CVE: CVE-2013-0460, CVE-2013-4052, CVE-2013-4053, CVE-2013-5372, CVE-2013-5414, CVE-2013-5417, CVE-2013-5418, CVE-2013-5780, CVE-2013-5803, CVE-2013-6325, CVE-2013-6725

BID: 57510, 62336, 62338, 63082, 63115, 63224, 63778, 63780, 63781, 65096, 65099

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990