IBM WebSphere Application Server < 6.1.0.27 多個弱點
medium Nessus Plugin ID 41057
語系:
概要
遠端應用程式伺服器受到多個弱點影響。說明
遠端主機上執行的似乎是 Fix Pack 27 之前的 IBM WebSphere Application Server 6.1。因此,據稱其受到多個弱點影響:- WebSphere Application Server 內含的 Eclipse 說明系統受到一個跨網站指令碼弱點影響。(PK78917)
- 攻擊者可以使用特製的 HTTP HEAD 方法繞過安全性限制。(PK83258)
- 在 WebSphere Application Serverr for z/OS 1.8 之前版本中部署的新應用程式儲存在擁有不安全權限的檔案系統上,從而會導致敏感資訊洩漏。(PK83308)
- 若使用 wsadmin 指令碼設定 JAAS-J2C 驗證資料,密碼值可能會出現在 FFDC 記錄中。(PK86137)
- Apache APR-util 受到一個拒絕服務問題影響。(PK88341)
- 由於 expat XML 剖析器中存在錯誤,導致 APR-util 受到一個拒絕服務問題影響。(PK88342)
- 由於 Fix Pack 6.1.0.23 和 6.1.0.25 中存在錯誤,攻擊者可以觸發拒絕服務攻擊。(PK91709)
解決方案
若使用的是 WebSphere Application Server,請套用 Fix Pack 27 (6.1.0.27) 或更新版本。如果使用的是 Tivoli Directory Server 封裝的內嵌 WebSphere Application Server,請套用建議的最新版 eWAS Fix Pack。
另請參閱
http://www-01.ibm.com/support/docview.wss?uid=swg21404665
http://www-01.ibm.com/support/docview.wss?uid=swg27009778
http://www-01.ibm.com/support/docview.wss?uid=swg1PK91241
http://www-01.ibm.com/support/docview.wss?uid=swg24023947
http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg27007951#61027
Plugin 詳細資訊
嚴重性: Medium
ID: 41057
檔案名稱: websphere_6_1_0_27.nasl
版本: 1.19
類型: remote
系列: Web Servers
已發布: 2009/9/23
已更新: 2018/8/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
弱點資訊
CPE: cpe:/a:ibm:websphere_application_server
必要的 KB 項目: www/WebSphere
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2009/9/21
弱點發布日期: 2009/9/21
參考資訊
CVE: CVE-2009-0023, CVE-2009-1955, CVE-2009-1956, CVE-2009-2091, CVE-2009-2742, CVE-2009-2743, CVE-2009-2744, CVE-2009-3106