IBM WebSphere MQ 7.1 < 7.1.0.5 / 7.5 < 7.5.0.3 複数の脆弱性
medium Nessus プラグイン ID 73103
Language:
概要
リモート Windows ホストに、複数の脆弱性の影響を受けるサービスがインストールされています。説明
リモート Windows ホストにインストールされている IBM WebSphere MQ サーバー7.1 / 7.5には、Fix Pack 7.1.0.5 / 7.5.0.3 以降がありません。したがって、次の脆弱性の影響を受けます:- MQ Telemetry コンポーネントでユーザー指定の入力がサニタイズされていないことにより、情報漏洩の脆弱性が存在します。これにより、制限されたパスの外部をパストラバーサルすることができます。リモートの攻撃者がこれを悪用し、URI リクエストを使用して、「mqm」ユーザーが読み取れるすべてのファイルを表示できる可能性があります。(CVE-2013-4054)
- ライブラリコンポーネントに関連したIBM Java に詳細不明な情報漏洩の脆弱性が存在します。
リモートの攻撃者が、これを悪用して、機密情報を入手する可能性があります。(CVE-2013-5780)
注意:Fix Pack 7.5.0.3 の修正リストは、いくつかの APAR にセキュリティや整合性の漏洩があることを示しています(IC93986、IC94287、IC94453、IC94752、IC97555)。これらの APAR のいずれかが、Telemetry コンポーネントの情報漏洩の脆弱性に対応するのかどうか、あるいはどの程度実際のセキュリティの問題を表しているのかは不明です。
ソリューション
Fix Pack 7.1.0.5 / 7.5.0.3 以降を適用してください。参考資料
http://www.nessus.org/u?af978a19
http://www.nessus.org/u?f8563017
http://www-01.ibm.com/support/docview.wss?uid=swg21664550
https://www-304.ibm.com/support/docview.wss?uid=swg21671933
http://www-01.ibm.com/support/docview.wss?uid=swg27038184#7503
プラグインの詳細
深刻度: Medium
ID: 73103
ファイル名: websphere_mq_7503.nasl
バージョン: 1.6
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2014/5/19
更新日: 2018/8/6
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: cpe:/a:ibm:websphere_mq
必要な KB アイテム: installed_sw/IBM WebSphere MQ
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2014/2/3
脆弱性公開日: 2013/10/15
参照情報
CVE: CVE-2013-4054, CVE-2013-5780