IBM WebSphere Application Server 8.5 < Fix Pack 8.5.5.2 複数の脆弱性

high Nessus プラグイン ID 74235

Language:

概要

リモートアプリケーションサーバーが複数の脆弱性の影響を受ける可能性があります。

説明

IBM WebSphere Application Server の Fix Pack 8.5.5.2 より前の 8.5 は、リモートホストで実行中のようであり、したがって、次の脆弱性の影響を受ける可能性があります：

- （Oracle JDK を基盤とする）付属の IBM SDK for Java に関連する多くのエラーが存在するため、DoS 攻撃（サービス拒否攻撃）や情報漏洩が発生する可能性があります。
（CVE-2013-5372、 CVE-2013-5780、CVE-2013-5803）

- 管理コンソールおよび Oauth コンポーネントに関連するユーザー入力の検証エラーが存在するため、クロスサイトスクリプティング攻撃が発生する可能性があります。
（CVE-2013-6725 / PM98132 / CVE-2013-6323 / PI04777 / CVE-2013-6738 / PI05661）

- Web サービスがエンドポイントリクエストを適切に処理できないことによるエラーが存在するため、DoS 攻撃（サービス拒否攻撃）が発生する可能性があります。
（CVE-2013-6325/PM99450、PI08267）

- 付属の IBM Global Security Kit に SSL の処理に関連するエラーが存在するため、DoS 攻撃（サービス拒否攻撃）が発生する可能性があります。（CVE-2013-6329/ PI05309）

- 「mod_dav」モジュールに欠陥があります。これは、先頭に余白がある CDATA の長さを追跡するときに発生します。リモートの攻撃者は、特別に作り上げられた DAV WRITE リクエストを使ってサービスの応答を停止することができます。（CVE-2013-6438/ PI09345）

- 付属の IBM Global Security Kit に無効な形式の X.509 証明書チェーンの処理に関連するエラーが存在するため、DoS 攻撃（サービス拒否攻撃）が発生する可能性があります。
（CVE-2013-6747/ PI09443）

- 「Content-Type」HTTP ヘッダー、ならびにファイルアップロードなどのマルチパートリクエストの処理に関連して、含まれている Apache Tomcat バージョンにエラーが存在します。これにより、サービス拒否攻撃が引き起こされる可能性があります。（CVE-2014-0050 / PI12648、PI12926）

- 詳細不明なエラーが存在するため、認証されていないリモートの攻撃者は、ファイルを漏洩できる可能性があります。
（CVE-2014-0823/ PI05324）

- 管理コンソールに関連する詳細不明なエラーが存在するため、セキュリティバイパスが発生する可能性があります。（CVE-2014-0857/ PI07808）

- 失敗した POST リクエストの再試行と Web サーバーのプラグインに関連するエラーが存在するため、DoS 攻撃（サービス拒否攻撃）が発生する可能性があります。（CVE-2014-0859/ PI08892）

- Proxy と ODR のコンポーネントに関連するエラーが存在するため、情報漏洩が発生する可能性があります。（CVE-2014-0891/ PI09786）

- 「Liberty Profile」に関連する詳細不明なエラーが存在するため、情報漏洩が発生する可能性があります。
（CVE-2014-0896/ PI10134）