IBM WebSphere Application Server の複数の脆弱性
critical Nessus プラグイン ID 83290
言語:
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。
プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。
概要
リモートアプリケーションサーバーは、複数の脆弱性の影響を受けます。説明
リモートホストで実行されている IBM WebSphere Application Server のバージョンは、6.1.0.47 / 7.0.0.37 / 8.0.0.10 / 8.5.5.5 またはそれ以前です。したがって、以下の複数の脆弱性による影響を受けます:- 構成データの不適切な処理によって、SNMP コンポーネントに情報漏洩の脆弱性が存在します。認証された、リモートの攻撃者がこれを悪用して、機密情報を漏洩させる可能性があります。(CVE-2015-0174)
- authData 要素の不適切な処理のため、liberty プロファイルに詳細不明な欠陥が存在しています。認証されているリモートの攻撃者がこれを悪用して、昇格された権限を取得する可能性があります。(CVE-2015-0175)
- マルチスレッド競合状態で EJB の run-as ユーザーが優先されない場合に引き起こされる詳細不明な欠陥が、liberty プロファイルに存在しています。認証されているリモートの攻撃者がこれを悪用して、昇格された権限を取得する可能性があります。(CVE-2015-1882)
- リモートの攻撃者が、特定のシーケンスの指示を使用して管理ポートに接続することで、任意のコードを実行することができる、欠陥が存在しています。(CVE-2015-1920)
ソリューション
暫定修正 PI38302 を適用します。関連情報
https://www-304.ibm.com/support/docview.wss?uid=swg21883573
プラグインの詳細
深刻度: Critical
ID: 83290
ファイル名: websphere_8_5_5_5.nasl
バージョン: 1.8
タイプ: remote
ファミリー: Web Servers
公開日: 2015/5/8
更新日: 2019/11/22
依存関係: websphere_detect.nasl
構成: パラノイドモードの有効化
リスク情報
CVSS スコアのソース: CVE-2015-1920
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Critical
Base Score: 10
Temporal Score: 7.4
ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C
現状ベクトル: E:U/RL:OF/RC:C
脆弱性情報
CPE: cpe:/a:ibm:websphere_application_server
必要な KB アイテム: www/WebSphere, Settings/ParanoidReport
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/4/30
脆弱性公開日: 2015/3/18
参照情報
CVE: CVE-2015-0174, CVE-2015-0175, CVE-2015-1882, CVE-2015-1920