IBM WebSphere Application Server 7.0 < Fix Pack 35 の複数の脆弱性

medium Nessus プラグイン ID 78604

概要

リモートアプリケーションサーバーは、複数の脆弱性の影響を受けます。

説明

リモートホストは、Fix Pack 35 より前のバージョンの IBM WebSphere Application Server 7.0 を実行しています。したがって、次の脆弱性の影響を受けます:

- 付属の IBM HTTP サーバーに関連する多数のエラーが存在します。これにより、リモートコードの実行やサービス拒否が可能な可能性があります。(CVE-2013-5704、CVE-2014-0118、CVE-2014-0226、CVE-2014-0231/PI22070)

- HTTP ヘッダー処理に関連する、機密情報の漏洩を可能にする可能性があるエラーが存在します。
(CVE-2014-3021/ PI08268)

- 詳細不明なエラーが存在し、これにより、機密情報を漏洩できる可能性があります。
(CVE-2014-3083/ PI17768)

- 「Admin Console」に関連する詳細不明な入力検証エラーが存在し、これにより、クロスサイトスクリプティングとクロスサイトリクエスト偽造の攻撃が発生する可能性があります。
(CVE-2014-4770、CVE-2014-4816/PI23055)

ソリューション

Fix Pack 35 (7.0.0.35) または以降を適用してください。

注意:次の暫定修正が利用可能です:

- CVE-2013-5704、CVE-2014-0118、CVE-2014-0226 および CVE-2014-0231 は、IF PI22070 で修正されています。
- CVE-2014-3083 は IF PI17768 で修正されています。
- CVE-2014-4770 および CVE-2014-4816 は、IF PI23055 で修正されています。

参考資料

https://www-304.ibm.com/support/docview.wss?uid=swg21684612

http://www-01.ibm.com/support/docview.wss?uid=swg27004980#ver70

http://www.nessus.org/u?834c5fca

https://www-304.ibm.com/support/docview.wss?uid=swg24038178

https://www-304.ibm.com/support/docview.wss?uid=swg21672428

https://www-304.ibm.com/support/docview.wss?uid=swg21682767

プラグインの詳細

深刻度: Medium

ID: 78604

ファイル名: websphere_7_0_0_35.nasl

バージョン: 1.8

タイプ: remote

ファミリー: Web Servers

公開日: 2014/10/21

更新日: 2018/8/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

Base Score: 6.8

Temporal Score: 5.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:ibm:websphere_application_server

必要な KB アイテム: www/WebSphere

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/10/13

脆弱性公開日: 2014/3/31

参照情報

CVE: CVE-2013-5704, CVE-2014-0118, CVE-2014-0226, CVE-2014-0231, CVE-2014-3021, CVE-2014-3083, CVE-2014-4770, CVE-2014-4816

BID: 66550, 68678, 68742, 68745, 69298, 69980, 69981, 70582

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990

CERT: 573356